スマホの最新セキュリティ・パスワード、知っておきたい本当に危ない管理

家計簿アプリの記事が「家計簿アプリ 危険」などで検索されて、なぜか当サイトが見つかるらしいのです。

銀行口座の連携は、個人情報が漏洩したときにとんでもないことになりそうですが、サービス側が情報漏洩するリスクよりも個人のパスワード管理の方がよっぽど危険がいっぱいなので情報共有しておきます。

2024年の「スマホセキュリティ」新着情報まとめ

スマホセキュリティについて調べているついでに見つけた「新製品情報」や「発売が噂されるもの」などの情報をざっくりまとめて置いておきます。

スマホセキュリティに関する新着ニュース

スマホセキュリティに関するニュースをまとめていきます。

生成AIとモバイルセキュリティの関係

• Check Point Software Technologiesは生成AIのモバイルセキュリティへの影響を議論した。
• ChatGPTやGoogle Bardのような人気の生成AIツールは日常の作業の効率化や生産性向上に貢献している。
• しかし、これらのAIツールが悪用されるリスクも存在する。

モバイルデバイスの脆弱性

• 生成AIツールの悪用により、モバイルデバイスは悪意のあるアプリのダウンロードやフィッシング攻撃のリスクが増大している。
• モバイルデバイスの小さい画面サイズはユーザーの注意を散漫にし、悪意のあるリンクのクリックやファイルのダウンロードを誤ってしまう原因となる。

企業におけるセキュリティ対策

• 機密データの保護や内部情報の盗難防止のため、AIツールの利用を禁止する企業も現れている。
• 個人と仕事のモバイルデバイス使用の境界が曖昧化しているため、社員のモバイルはソーシャルエンジニアリングやフィッシングの脅威に晒されやすい。
• 企業や組織はモバイルデバイスを高度なサイバー攻撃から保護する必要があり、予防的なセキュリティ機能の導入が重要である。

AIの進化とセキュリティ

• AIの進化と対抗するため、セキュリティソリューションではAIと機械学習技術の活用が推奨されている。

LINEのセキュリティ対策

• LINEは友人や家族、仕事の連絡など様々なシーンで使用されるため、セキュリティ対策が不可欠。
• セキュリティが不十分な場合、個人情報の漏洩、トークの内容が覗かれるリスク、アカウント乗っ取りの恐れがある。

5つのセキュリティ設定

1. 「Letter Sealing」でトーク内容を暗号化
   • LINEは2018年にトークルームの内容を暗号化する「Letter Sealing」を導入。
   • この機能により、トーク内容は送信者と受信者以外から解読できない。
   • LINEアプリのアップデートが行われていれば基本的には有効。
   • 確認方法: ホーム -> 設定(歯車アイコン) -> プライバシー管理 で「Letter Sealing」がオンになっているか確認。
2. 「友だちへの追加を許可」をオフにする
   • LINEは電話番号から自動的に友だちに追加する機能を持つ。
   • これをオンにしていると、不快なメッセージや写真が勝手に送られてくる可能性がある。
   • オフにすると、電話番号での友だち検索でヒットしなくなる。
   • 設定方法: ホーム -> 設定 -> 友だち -> 「友だちへの追加を許可」をオフ。
3. 他のデバイスからのログインを拒否する
   • LINEはタブレットやPCでも同一アカウントでログイン可能。
   • アカウントが不正に取られた場合、他のデバイスから不正アクセスのリスク。
   • 設定から現在ログイン中のデバイスを確認し、知らないデバイスがあれば強制的にログアウト&パスワード変更。
   • タブレットやPCでのLINE使用をしないユーザーは、ログイン許可をオフにすべき。
   • 確認方法: ホーム -> 設定(歯車アイコン) -> アカウント -> ログイン中の端末。

【4】位置情報をオフにする

• LINEはGPS機能を使い、近くの店舗のクーポンを表示や位置情報を共有できる。
• 他人に位置情報が知られることは基本的にないが、不安の場合はオフにすることが推奨される。
• LINEアプリの設定だけでなく、スマホ本体の位置情報もオフにすべき。iPhoneの位置情報オフ手順:
  1. iPhoneの「設定」を開き、「プライバシーとセキュリティ」をタップ。
  2. 「位置情報サービス」を選択し、「LINE」をタップ。
  3. 「しない」にチェックを入れる。
  LINEアプリの位置情報オフ手順:
  1. LINEアプリの「ホーム」から設定を開き、「プライバシー管理」を選択。
  2. 「情報の提供」をタップし、「位置情報の取得を許可」をオフにする。

【5】LINEアプリの起動にロックをかける

• LINEの覗き見は不正アクセスだけでなく、知り合いによるものも考えられる。
• スマホ本体にロックをかけても、LINEアプリ自体にパスワードをかけるとさらに安全。LINEアプリの起動ロック手順:
  1. LINEの「ホーム」から設定を開き、「プライバシー管理」を選択。
  2. 「パスコードロック」を選択し、4桁のパスコードを入力。再入力すると設定完了。

スマホセキュリティ詐欺事件の概要

• 岐阜県多治見市の60代無職の女性が、「あなたのスマートフォンがウイルスに感染して損害を与えている」というウソの主張で詐欺被害に遭う。
• 詐欺者は「セキュリティ協会」と称して、女性に対して680万円の補填金を要求。
• 女性は指示に従い、ATMを利用して15回にわたり、合計680万円を詐欺者に振り込んだ。

詳細な経緯

• 6月28日、女性のスマートフォンに「利用料金について説明したい」とのメールが届く。
• メールに記載された連絡先に電話すると、詐欺者は「ウィルス感染による旅行会社への損害」との主張を繰り返し、補填金を要求。
• その後、「セキュリティを強化するためのサイバー保険への加入」を勧められる。
• 女性は7月6日までの期間中に15回の振り込みを行い、合計で680万円を詐欺者に支払った。

被害の発覚

• 女性の家族が「詐欺の疑いがある」と指摘。
• 女性が警察に相談し、詐欺被害が明らかとなる。
• 警察は詐欺事件として捜査を開始。

スマホセキュリティの新製品情報

スマホセキュリティに役立つ新製品情報があれば更新します。

スマホのセキュリティ対策、どこまでしてる？

まず、スマホのセキュリティ対策、ノーガード戦法（未対策）の方は結構多いと思います。

セキュリティ対策されていないスマホが多い

IPAが実施した2018年度の調査によると、直近1年間でスマホのセキュリティに関して何も情報を収集していないユーザーは４割近くとなっている。

https://eset-info.canon-its.jp/malware_info/special/detail/190924.html

2019年5月の時点で、Androidのアクティブユーザの42.1%がAndroid 6.0およびこれよりも前のバージョンを使用している

https://news.mynavi.jp/article/20200310-992519/

まず、スマホのセキュリティ対策として大事なのは、「セキュリティアップデートをしっかりとしている」ことです。これすら未対策となると、情報は筒抜けでも仕方がない。

ただ、更新が頻繁ということは、日々、それだけ「セキュリティの問題に脅かされている」ということでもあります。

実際にあったスマホの危険

https://cybersecurity-jp.com/cyber-terrorism/23148

https://eset-info.canon-its.jp/malware_info/trend/detail/190917.html

https://thehikaku.net/security/danger/smartphone.html

https://cs.kyushu-u.ac.jp/wp-content/uploads/20160227_secutalk2016-01smartphone.pdf

スマホ、意外と遠隔操作されてる

まず、セキュリティ対策しないとな、という危機感を持つために申し上げると、スマホは割と簡単に遠隔操作されています。

最近は、特定の個人を対象としてスマホの情報を抜き取ろうとする動きもあり、「スマホにお任せ」のセキュリティ対策では不十分である場合があります。

スマホのセキュリティ対策例

• アプリはApp Store、Google Playストアなど公式のものからのみダウンロードする
• バックアップを頻回に取る
• メール・メッセージに添付されているリンクは開かない
• ２段階認証を利用する
• VPNアプリで通信を暗号化する（公衆WiFi利用時など）
• クラウド連携している端末は適宜確認する（自分の使用していない端末がないか）

公式のアプリストアを利用する

これは、ほとんどの方ができているとは思いますが、意外な盲点として、端末を購入した時に「既にインストールされているアプリ」が感染していたり、セキュリティの脆弱性を狙われたりするケースがあります。

iPhone使用時に消していいauアプリ【アンインストール推奨】

新しいスマホを買ったのに最初からアイコンがごちゃついていて即刻アンインストールしてやりたいところ。この記事ではauでiPhoneを購入した際に消したいアプリをリスト化してまとめました。

buchikuma.com

2024.03.20

みんな「公式アプリ以外は危険」ということは知っているけど、知らずにダウンロードしているケースは意外と多いということです。

クラウド端末は頻回にチェック

いつか、iCloudのセキュリティについても記事にしますが、取り急ぎ。クラウド上のデータは大事なものが多いと思います。

この時、初期化してあることは当然ではあるのですが、例えば端末のデータを抜き取るために中古スマホを流したりするケースも考えられます。

クラウド系のデータサービスの場合、利用できる端末数を制限していることがほとんどです。身に覚えの無い端末が登録されている場合は、不正にログインされている可能性があるので注意が必要です。

マルウェア感染兆候

• スマホの起動が重たい
• バックグラウンドでアプリが立ち上がっている
• 使用していない状態でも通信している
• カメラが起動する
• 覚えの無い発信履歴
• メール送受信履歴
• 知らないアプリがインストールされている

https://securitynavi.jp/812

iPhoneとAndroid端末、どっちが安全？

iPhoneなどのiOS端末と、GoogleのOSであるAndroidをOSとしているAndroid端末、どちらが安全かと言われればiPhoneです。

iOSの脆弱性をつくマルウェアも開発されているので、いずれにしても安心はできない状況です。

iOSって、本当に安全？

先に簡単に説明すると、iOSというiPhoneを起動させるシステムが安全だと言われている理由は以下の通りです。

利用者数が多いAndroid

Net Applicationsの調査では、2019年7月のスマホOSの世界シェアは、Android OSが69.78％、iOSが29.66％となっており、世界では圧倒的にAndroid OSのシェアが高い。

https://eset-info.canon-its.jp/malware_info/special/detail/191107.html）

実際のところ、格安スマホでユーザー数を爆増できるAndroidは利用者数が増える一方で、iOSは既に固有層でしっかりと売り上げを上げていく方針にシフトしています。

iPhoneでも安心できない理由

iOSはAndroidと比較すれば安心であるという話をしましたが、逆に言えば、セキュリティ対策を取らないデバイスも多いということになります。

現在は初代iPhone SE（5年選手）も対応

Apple製品も、5年くらいすると型落ちしてセキュリティアップデートの対象とならない端末も出てきます。（5年すると先に電池やディスプレイに異常が出るので、いずれにせよ買い替えの時期ではあります）

とはいえ、端末が型落ちしても使用しているユーザーは多く、セキュリティアップデートされずに端末の安全性が保たれていないまま使用している方もいらっしゃいます。

セキュリティメッセージはよく読む

基本的には、システム面に関与する動作がある場合にはiOSが警告してくれます。

ですが、完全に安心できるものではなく、セキュリティの脆弱性をついてマルウェアを起動させることを可能にするものも存在します。

自らマルウェアを起動させる手口

何より、警告が出ても「よくわからずOKした」なんてユーザーも多いので、普段見ないメッセージが表示された時には慎重な対応が求められます。

システム通知っぽいウェブポップアップ

また、ウェブブラウザのポップアップを、さも公式のメッセージのように似せて「ウィルスに感染しました」とユーザーを焦らせて判断能力を失わせるものも確認されています。

セキュリティ対策も、「無知」には無効

iOS側でどれだけ対策しようと、例えば個人情報やパスワードを自分で入力したりしてしまった場合には防ぎ用がありません。

常日頃からセキュリティを犯す危険性と隣り合わせに暮らしていることを頭に片隅に置いておき「変だな」と感じた場合には、誰かに相談してみると少し冷静になれます。

パソコンのセキュリティも確認

過去にパソコンにトロイの木馬を感染させて、感染したパソコンに接続されたiPhoneのアプリを書き換えられたということもあります。

Wirelurker

2014年11月、Wirelurker(OSX.Wirelurker / Trojan.Wirelurker)というトロイの木馬が発見されました。これは数々のセキュリティ上の制約があるiPhoneに感染するためにMacやWindows PCを介して感染するという新たな手法を用いています。

https://japan.norton.com/iphone-virus-7020

iOSのシステム・機能を悪用する

AirDrop痴漢

Air DropをOnにしている端末に向けて、有害な画像を送りつけるというもの。AirDropの設定はある程度制限をかけておく方が安全です。

公式のAppStore以外からアプリをダウンロードする

非公式な方法だと思いがちですが、意外と身の回りにも「AppStoreを通していないアプリ」は存在します。

iPhoneの脱獄って何？

iPhone発売後、しばらくは「脱獄端末」が流行しました。

iPhoneはかなり厳しい審査を通り抜けたアプリしかダウンロードできないのですが、この頃AndroidではできてもiPhoneではできないなどの理由で、不正なアプリをダウンロードするためにiPhoneの機能制限を解除する「脱獄」というものが流行りました。

今では、脱獄する必要性は皆無と言っていいくらいにiPhoneが便利になってくれたわけですが、脱獄に関しては、セキュリティが著しく低下するというデメリットもあります。

ゲームなんかしていると、Androidでマクロ使っている情報を聞くとずるいなぁとか思って脱獄させて不正な操作が可能になるアプリとかが欲しくなるわけですね。

Apple Developer Enterprise Program

また、脱獄とは別に、Apple Developer Enterprise Programという制度がありまして、これを利用すると、社内などで利用するための特別なアプリなどが利用できるようになります。医療機関などでは、専門職のためのアプリとして外部デバイスの心電図モニターなどと連携したアプリなんかがありますね。

この制度を利用してAppStore外からダウンロードできるアプリも、基本的にはAppleの基準をクリアしているものです。セキュリティに関しても同様です。しかし、この制度を利用して公式外のアプリをダウンロードさせることも可能になるためウイルス感染のために悪用されたケースがあるようです。

他人事ではないiPhoneウイルス – 無料で出来る対策6つ

一般的にiPhoneは安全と言われていますが、完璧ではありません。本記事ではiPhoneウイルスの実例や、感染しないために無料でできる対策をご紹介します。

japan.norton.com

PWA

ふと、PWAとの関連も気になったので追記します。

PWAというのは、Webページをアプリにするような仕組みのことです。アプリほど開発は大変では無く、できることはだいたいブラウザで閲覧することと大きくは変わりないのですが、細かい点ではPWAである方が便利です。

PWAの話をしても仕方がないのですが、例えばPWAだと以下のような動作が可能です。

さて、何が言いたいかというと、このPWAの仕組みがわからずに、「知らないPush通知が出た！」「変なアプリが勝手にダウンロードされている！」など、ユーザーを慌てさせるようなことが可能になります。

便利なセキュリティアプリ

さて、長々とiPhoneを中心としたスマホの安全性について説明しましたが、少しは商売っけのあることをしておきたいので、蛇足で「セキュリティ系のアプリ」についてもご紹介しておきます。

チェックしておく機能

• ウィルス探知機能
• 位置情報追跡
• 公共WiFiでのデータ暗号化
• Webサイトスキャン
• セキュリティフォルダ生成機能

セキュリティアプリが必要な方

とはいえ、基本的にはしっかりと注意しておけばセキュリテアプリは必要ない場合が多いです。ただ、何度かお話ししているように、スマホを使用しているシチュエーションで「割と危険にさらされ易い」方は、セキュリティアプリを導入しておくことをお勧めします。

有名なウィルス対策・セキュリティアプリ

というわけで、さっくり有名どころだけ解説していきます。どこがお勧め、というよりは用途に合わせるのがいいですね。

ESET

iOSは非対応。比較的軽量で安いため、個人的にはお勧め。ただし、iOSは非対応。

Norton

• 世界シェアNo.1
• LINEやSNSも含めて、危険サイトをブロックできる
• 公衆WiFiなどのネットワークの安全性を診断

McAfee

• 隠しフォルダを生成できる
• 位置追跡が可能

ウィルスバスター

• SNSプライバシーチェックあり
• 通信量のチェックもできる
• 端末検索機能もある

Kaspersky

• 全世界的に評価が高いセキュリティソフト。そのアプリ版なので、安定感はある
• iOS版はダウンロード無料
• カテゴリごとに不適切サイトをシャットアウト
• 利用者を設定できるので、親の端末をこどもに一次的にい利用させるときに便利。

Lookout

• 電池残量で自動で位置情報を保存
• 他の端末からアラートを鳴らしたり、位置情報を追跡できる。
• WiFiのセキュリティレベルをチェック

パスワード管理方法を強化する

まず、パスワード管理で面倒なのが、「各サイト・サービスごとにパスワードを設定する必要がある」こと。このため、以下のようなリスクを背負います。

パスワード管理のリスク

• つい、覚えやすいものを利用してしまう
• つい、ひとつのパスワードを流用してしまう
• ついつい、忘れてしまう
• つい、忘れないようにスマホのメモに記録してしまう

面倒なのと覚えられないのとで、人間の脳ではどうしてもパスワードを簡略化しがちです。そのため、パスワード管理アプリなどを併用することをお勧めします。

パスワード管理アプリ自体のセキュリティは大丈夫なの？

そもそも、パスワード管理アプリにパスワードを管理させるのが安全なのか、という議論が生まれます。くそ面倒ですが、確かにその通りで、以下のリスクを想定しなければいけません。

アプリに丸ごとパスワードを盗まれる可能性がある

当たり前ですが、パスワードを入力したらアプリが管理するわけで、悪意のあるディベロッパーが開発したアプリなら、入力したパスワードはそのまま情報としてディベロッパーに送られる可能性があります。悪意がなくても、意識が低いディベロッパーが開発すれば、アプリ自体のセキュリティの脆弱性を突かれてパスワードが漏洩する可能性があります。

さらに、アプリ側に落ち度はなくても、他のアプリにバックドアが仕込まれて画面に移したパスワードを外部に保存して利用される可能性もなくはありません。

アプリで生成された難解なパスワードが突破される

基本的に、パスワード管理アプリは人間が予測できないような難解なパスワードを生成してパスワードとしてアプリに記録します。人間が考えるよりもよっぽど安全なのですが、ハッキング側の技術も日々進歩しており、かえって突破されやすいパスワードになる可能性はあります。

この可能性はあまり考えてはいませんが、とはいえ量子コンピューターが開発されて、コンピュータの計算処理が何万・何億倍になると、これらのパスワードは容易に突破されます。さすがにまだ実験段階の量子コンピュータをハッキングに利用する未来はまだまだ先の話ですが、何かしらの脆弱性を突かれてセキュリティ被害を受ける可能性は、どんなものにもあり得ます。

おすすめのパスワード管理アプリ

パスワード管理系のアプリもうっすらと紹介しておきます。ちなみに、先ほど紹介した「セキュリティ系のアプリ」の機能に組み込まれている場合もありますが、多くの場合、別途ダウンロードする必要があります。

1Password

圧倒的に人気なのが1Passwordです。

• 最大30文字のパスワードを自動生成
• マスターパスワード１つ覚えればOK
• 指紋・顔認証も対応なのでログインは簡単

純正iCloudキーチェーンじゃダメなのか

Google Chromeにもパスワード保存機能がありますが、Android端末を所持していないのでそちらはまた別の方に記事を書いてもらうとして。

iCloudでは、「キーチェーン」という機能で、Safariやアプリなどへのログインパスワードを保存して管理することができます。

セキュリティ対策としては最高峰

iCloud は、エンドツーエンドの暗号化で情報を保護するため、最高水準のデータセキュリティが叶います。お使いのデバイスに固有の情報から生成したキーと (本人しか知り得ない) デバイスパスコードと組み合わせることによってデータが保護されます。

https://support.apple.com/ja-jp/HT204085

当然、個人情報の管理にはどこよりも厳しいAppleですから、セキュリティ対策は万全です。私はデータの暗号化のような専門知識は持ち合わせていないので「どうすごいのか」は解説できませんが、Appleさんが最高水準のデータセキュリティと宣っているので、最高水準です。

スマホの管理さえ間違っていなければ、キーチェーンのパスワードが流出するということはないと思います。