家計簿アプリの記事が「家計簿アプリ 危険」などで検索されて、なぜか当サイトが見つかるらしいのです。
銀行口座の連携は、個人情報が漏洩したときにとんでもないことになりそうですが、サービス側が情報漏洩するリスクよりも個人のパスワード管理の方がよっぽど危険がいっぱいなので情報共有しておきます。
スマホのセキュリティ対策、どこまでしてる?
まず、スマホのセキュリティ対策、ノーガード戦法(未対策)の方は結構多いと思います。
無料のセキュリティソフトくらいは使ってる、という方や、「iOSはウイルスやマルウェアの被害に遭わない」と考えている方もいらっしゃることでしょう。
auのスマートパスとか利用していると、セキュリティアプリを利用している方もいるよね。無料ってのはやっぱりだいじ。
セキュリティ対策されていないスマホが多い
IPAが実施した2018年度の調査によると、直近1年間でスマホのセキュリティに関して何も情報を収集していないユーザーは4割近くとなっている。
https://eset-info.canon-its.jp/malware_info/special/detail/190924.html
2019年5月の時点で、Androidのアクティブユーザの42.1%がAndroid 6.0およびこれよりも前のバージョンを使用している
https://news.mynavi.jp/article/20200310-992519/
まず、スマホのセキュリティ対策として大事なのは、「セキュリティアップデートをしっかりとしている」ことです。これすら未対策となると、情報は筒抜けでも仕方がない。
でも、アップデートとか面倒だよね。一回やっても、すぐにまた新しいのでるし。
アップデートしたら使えなくアプリとかもあるからね。慎重になっちゃう。
ただ、更新が頻繁ということは、日々、それだけ「セキュリティの問題に脅かされている」ということでもあります。
実際にあったスマホの危険
https://cybersecurity-jp.com/cyber-terrorism/23148
https://eset-info.canon-its.jp/malware_info/trend/detail/190917.html
https://thehikaku.net/security/danger/smartphone.html
https://cs.kyushu-u.ac.jp/wp-content/uploads/20160227_secutalk2016-01smartphone.pdf
スマホ、意外と遠隔操作されてる
まず、セキュリティ対策しないとな、という危機感を持つために申し上げると、スマホは割と簡単に遠隔操作されています。
セキュリティ対策のプロの手にかかれば、ものの数分でスマホの個人情報を抜き取ることができる、みたいな動画、結構ありますもんね。
最近は、特定の個人を対象としてスマホの情報を抜き取ろうとする動きもあり、「スマホにお任せ」のセキュリティ対策では不十分である場合があります。
あの手この手で、個人情報を盗み出そうとしてきます。事前の知識がないと「つい、うっかり」引っかかってしまうことも!
スマホのセキュリティ対策例
- アプリはApp Store、Google Playストアなど公式のものからのみダウンロードする
- バックアップを頻回に取る
- メール・メッセージに添付されているリンクは開かない
- 2段階認証を利用する
- VPNアプリで通信を暗号化する(公衆WiFi利用時など)
- クラウド連携している端末は適宜確認する(自分の使用していない端末がないか)
公式のアプリストアを利用する
これは、ほとんどの方ができているとは思いますが、意外な盲点として、端末を購入した時に「既にインストールされているアプリ」が感染していたり、セキュリティの脆弱性を狙われたりするケースがあります。
また、メッセージやメールで、「便利なアプリ」として紹介して、公式以外のアプリをダウンロードさせようとする手口もありますね。
みんな「公式アプリ以外は危険」ということは知っているけど、知らずにダウンロードしているケースは意外と多いということです。
クラウド端末は頻回にチェック
いつか、iCloudのセキュリティについても記事にしますが、取り急ぎ。クラウド上のデータは大事なものが多いと思います。
最近は、スマホの中古市場も活性化していて、中古のスマホを利用したり、自分のスマホを売ったことがある人も多いと思います。
この時、初期化してあることは当然ではあるのですが、例えば端末のデータを抜き取るために中古スマホを流したりするケースも考えられます。
事前にマルウェアを仕込んでおいた端末を利用してもらい、そこから個人情報を抜き取るという方法ですね。
クラウド系のデータサービスの場合、利用できる端末数を制限していることがほとんどです。身に覚えの無い端末が登録されている場合は、不正にログインされている可能性があるので注意が必要です。
マルウェア感染兆候
- スマホの起動が重たい
- バックグラウンドでアプリが立ち上がっている
- 使用していない状態でも通信している
- カメラが起動する
- 覚えの無い発信履歴
- メール送受信履歴
- 知らないアプリがインストールされている
iPhoneとAndroid端末、どっちが安全?
iPhoneなどのiOS端末と、GoogleのOSであるAndroidをOSとしているAndroid端末、どちらが安全かと言われればiPhoneです。
iPhoneが安全ということは他のサイトでも語られているところですが、「何故なのか」を理解しておくと、どういう対策が必要なのかが見えてきます。
iOSの脆弱性をつくマルウェアも開発されているので、いずれにしても安心はできない状況です。
iOSって、本当に安全?
先に簡単に説明すると、iOSというiPhoneを起動させるシステムが安全だと言われている理由は以下の通りです。
利用者数が多いAndroid
Net Applicationsの調査では、2019年7月のスマホOSの世界シェアは、Android OSが69.78%、iOSが29.66%となっており、世界では圧倒的にAndroid OSのシェアが高い。
https://eset-info.canon-its.jp/malware_info/special/detail/191107.html)
iOS利用者が減っている感じですね。
実際のところ、格安スマホでユーザー数を爆増できるAndroidは利用者数が増える一方で、iOSは既に固有層でしっかりと売り上げを上げていく方針にシフトしています。
ユーザー数だけでは測れないけど、実数としてはAndroid端末が多いし、セキュリティの弱い古い端末を利用しているのもAndroidが圧倒的に多いってことだね。
iPhoneでも安心できない理由
iOSはAndroidと比較すれば安心であるという話をしましたが、逆に言えば、セキュリティ対策を取らないデバイスも多いということになります。
現在は初代iPhone SE(5年選手)も対応
Apple製品も、5年くらいすると型落ちしてセキュリティアップデートの対象とならない端末も出てきます。(5年すると先に電池やディスプレイに異常が出るので、いずれにせよ買い替えの時期ではあります)
Android端末だと、3年もするとセキュリティパッチが対応しているかどうか確認できなくなるので、iOSの方が長く安全に機種を使えると考えられます。
とはいえ、端末が型落ちしても使用しているユーザーは多く、セキュリティアップデートされずに端末の安全性が保たれていないまま使用している方もいらっしゃいます。
セキュリティメッセージはよく読む
基本的には、システム面に関与する動作がある場合にはiOSが警告してくれます。
ですが、完全に安心できるものではなく、セキュリティの脆弱性をついてマルウェアを起動させることを可能にするものも存在します。
自らマルウェアを起動させる手口
何より、警告が出ても「よくわからずOKした」なんてユーザーも多いので、普段見ないメッセージが表示された時には慎重な対応が求められます。
システム通知っぽいウェブポップアップ
また、ウェブブラウザのポップアップを、さも公式のメッセージのように似せて「ウィルスに感染しました」とユーザーを焦らせて判断能力を失わせるものも確認されています。
例えば危険なウェブサイトにアクセスして、「ウイルスに感染しました」などの表示をします。
「〇〇を有効にしてください」のように、意図的にシステムに改変を起こさせるようなメッセージでマルウェアをインストールさせようとする場合もありますね。
セキュリティ対策も、「無知」には無効
iOS側でどれだけ対策しようと、例えば個人情報やパスワードを自分で入力したりしてしまった場合には防ぎ用がありません。
常日頃からセキュリティを犯す危険性と隣り合わせに暮らしていることを頭に片隅に置いておき「変だな」と感じた場合には、誰かに相談してみると少し冷静になれます。
パソコンのセキュリティも確認
過去にパソコンにトロイの木馬を感染させて、感染したパソコンに接続されたiPhoneのアプリを書き換えられたということもあります。
Wirelurker
2014年11月、Wirelurker(OSX.Wirelurker / Trojan.Wirelurker)というトロイの木馬が発見されました。これは数々のセキュリティ上の制約があるiPhoneに感染するためにMacやWindows PCを介して感染するという新たな手法を用いています。
https://japan.norton.com/iphone-virus-7020
iOSのシステム・機能を悪用する
AirDrop痴漢
Air DropをOnにしている端末に向けて、有害な画像を送りつけるというもの。AirDropの設定はある程度制限をかけておく方が安全です。
公式のAppStore以外からアプリをダウンロードする
非公式な方法だと思いがちですが、意外と身の回りにも「AppStoreを通していないアプリ」は存在します。
iPhoneの脱獄って何?
iPhone発売後、しばらくは「脱獄端末」が流行しました。
iPhoneはかなり厳しい審査を通り抜けたアプリしかダウンロードできないのですが、この頃AndroidではできてもiPhoneではできないなどの理由で、不正なアプリをダウンロードするためにiPhoneの機能制限を解除する「脱獄」というものが流行りました。
今では、脱獄する必要性は皆無と言っていいくらいにiPhoneが便利になってくれたわけですが、脱獄に関しては、セキュリティが著しく低下するというデメリットもあります。
ゲームなんかしていると、Androidでマクロ使っている情報を聞くとずるいなぁとか思って脱獄させて不正な操作が可能になるアプリとかが欲しくなるわけですね。
Apple Developer Enterprise Program
また、脱獄とは別に、Apple Developer Enterprise Programという制度がありまして、これを利用すると、社内などで利用するための特別なアプリなどが利用できるようになります。医療機関などでは、専門職のためのアプリとして外部デバイスの心電図モニターなどと連携したアプリなんかがありますね。
この制度を利用してAppStore外からダウンロードできるアプリも、基本的にはAppleの基準をクリアしているものです。セキュリティに関しても同様です。しかし、この制度を利用して公式外のアプリをダウンロードさせることも可能になるためウイルス感染のために悪用されたケースがあるようです。
PWA
ふと、PWAとの関連も気になったので追記します。
PWAというのは、Webページをアプリにするような仕組みのことです。アプリほど開発は大変では無く、できることはだいたいブラウザで閲覧することと大きくは変わりないのですが、細かい点ではPWAである方が便利です。
PWAの話をしても仕方がないのですが、例えばPWAだと以下のような動作が可能です。
iPhone(というよりもSafari)では一部の機能が制限されていますが、将来的にどうなるかはわかりません。
さて、何が言いたいかというと、このPWAの仕組みがわからずに、「知らないPush通知が出た!」「変なアプリが勝手にダウンロードされている!」など、ユーザーを慌てさせるようなことが可能になります。
何にせよ、知らない通知が出たときは知っている人に相談するのが一番ですね
便利なセキュリティアプリ
さて、長々とiPhoneを中心としたスマホの安全性について説明しましたが、少しは商売っけのあることをしておきたいので、蛇足で「セキュリティ系のアプリ」についてもご紹介しておきます。
チェックしておく機能
- ウィルス探知機能
- 位置情報追跡
- 公共WiFiでのデータ暗号化
- Webサイトスキャン
- セキュリティフォルダ生成機能
セキュリティアプリが必要な方
とはいえ、基本的にはしっかりと注意しておけばセキュリテアプリは必要ない場合が多いです。ただ、何度かお話ししているように、スマホを使用しているシチュエーションで「割と危険にさらされ易い」方は、セキュリティアプリを導入しておくことをお勧めします。
有名なウィルス対策・セキュリティアプリ
というわけで、さっくり有名どころだけ解説していきます。どこがお勧め、というよりは用途に合わせるのがいいですね。
ESET
iOSは非対応。比較的軽量で安いため、個人的にはお勧め。ただし、iOSは非対応。
Norton
- 世界シェアNo.1
- LINEやSNSも含めて、危険サイトをブロックできる
- 公衆WiFiなどのネットワークの安全性を診断
McAfee
- 隠しフォルダを生成できる
- 位置追跡が可能
スマホの紛失・盗難が怖い場合にお勧めですね!
ウィルスバスター
- SNSプライバシーチェックあり
- 通信量のチェックもできる
- 端末検索機能もある
こどもに使わせる端末で利用したいですね!
Kaspersky
- 全世界的に評価が高いセキュリティソフト。そのアプリ版なので、安定感はある
- iOS版はダウンロード無料
- カテゴリごとに不適切サイトをシャットアウト
- 利用者を設定できるので、親の端末をこどもに一次的にい利用させるときに便利。
端末数無制限なので、家族全員で利用する場合にお勧めしたい。
Lookout
- 電池残量で自動で位置情報を保存
- 他の端末からアラートを鳴らしたり、位置情報を追跡できる。
- WiFiのセキュリティレベルをチェック
パスワード管理方法を強化する
まず、パスワード管理で面倒なのが、「各サイト・サービスごとにパスワードを設定する必要がある」こと。このため、以下のようなリスクを背負います。
パスワード管理のリスク
- つい、覚えやすいものを利用してしまう
- つい、ひとつのパスワードを流用してしまう
- ついつい、忘れてしまう
- つい、忘れないようにスマホのメモに記録してしまう
面倒なのと覚えられないのとで、人間の脳ではどうしてもパスワードを簡略化しがちです。そのため、パスワード管理アプリなどを併用することをお勧めします。
パスワード管理アプリ自体のセキュリティは大丈夫なの?
そもそも、パスワード管理アプリにパスワードを管理させるのが安全なのか、という議論が生まれます。くそ面倒ですが、確かにその通りで、以下のリスクを想定しなければいけません。
アプリに丸ごとパスワードを盗まれる可能性がある
当たり前ですが、パスワードを入力したらアプリが管理するわけで、悪意のあるディベロッパーが開発したアプリなら、入力したパスワードはそのまま情報としてディベロッパーに送られる可能性があります。悪意がなくても、意識が低いディベロッパーが開発すれば、アプリ自体のセキュリティの脆弱性を突かれてパスワードが漏洩する可能性があります。
さらに、アプリ側に落ち度はなくても、他のアプリにバックドアが仕込まれて画面に移したパスワードを外部に保存して利用される可能性もなくはありません。
アプリで生成された難解なパスワードが突破される
基本的に、パスワード管理アプリは人間が予測できないような難解なパスワードを生成してパスワードとしてアプリに記録します。人間が考えるよりもよっぽど安全なのですが、ハッキング側の技術も日々進歩しており、かえって突破されやすいパスワードになる可能性はあります。
この可能性はあまり考えてはいませんが、とはいえ量子コンピューターが開発されて、コンピュータの計算処理が何万・何億倍になると、これらのパスワードは容易に突破されます。さすがにまだ実験段階の量子コンピュータをハッキングに利用する未来はまだまだ先の話ですが、何かしらの脆弱性を突かれてセキュリティ被害を受ける可能性は、どんなものにもあり得ます。
おすすめのパスワード管理アプリ
パスワード管理系のアプリもうっすらと紹介しておきます。ちなみに、先ほど紹介した「セキュリティ系のアプリ」の機能に組み込まれている場合もありますが、多くの場合、別途ダウンロードする必要があります。
1Password
圧倒的に人気なのが1Passwordです。
- 最大30文字のパスワードを自動生成
- マスターパスワード1つ覚えればOK
- 指紋・顔認証も対応なのでログインは簡単
純正iCloudキーチェーンじゃダメなのか
Google Chromeにもパスワード保存機能がありますが、Android端末を所持していないのでそちらはまた別の方に記事を書いてもらうとして。
iCloudでは、「キーチェーン」という機能で、Safariやアプリなどへのログインパスワードを保存して管理することができます。
セキュリティ対策としては最高峰
iCloud は、エンドツーエンドの暗号化で情報を保護するため、最高水準のデータセキュリティが叶います。お使いのデバイスに固有の情報から生成したキーと (本人しか知り得ない) デバイスパスコードと組み合わせることによってデータが保護されます。
https://support.apple.com/ja-jp/HT204085
当然、個人情報の管理にはどこよりも厳しいAppleですから、セキュリティ対策は万全です。私はデータの暗号化のような専門知識は持ち合わせていないので「どうすごいのか」は解説できませんが、Appleさんが最高水準のデータセキュリティと宣っているので、最高水準です。
スマホの管理さえ間違っていなければ、キーチェーンのパスワードが流出するということはないと思います。
コメント