スマホは私たちの日常生活に欠かせない存在になっています。SNS、友達や親との連絡、勉強、エンターテインメント、ニュースのチェック、ゲーム、さらにはショッピングや支払いまで、さまざまな活動がスマホ1台でできるようになりました。その一方で、スマホの便利さは悪意ある人々にも利用されています。そこで、セキュリティ対策が重要になってきます。ここでは、スマホのセキュリティ対策について解説します。個人情報やプライバシーの保護、オンラインの脅威から身を守る方法を学びましょう。

スマホのセキュリティ対策の必要性とは

まず、なぜスマホのセキュリティ対策が必要なのでしょう？
スマホは便利なツールですが、危険も存在します。

主に以下の3つのリスクが挙げられます。

スマホの紛失または盗まれるリスク

スマホには、持ち主やその知人の名前や住所、連絡先などの個人情報が保存されています。万が一スマホが盗まれたり、紛失したりした場合、その情報が悪意のある人の手に渡る可能性があります。そのことで、身に覚えのない買い物やプライバシーの侵害といった被害につながる可能性があります。

ウイルスが仕込まれるリスク

サイバー攻撃者などによって、ウイルスやスパイウェアといった悪意あるソフトウェア（マルウェア）が、あなたのスマホに仕込まれてしまった場合、個人情報を盗み取られたり、データを破壊されたりする可能性があります。

サイバー攻撃などによる個人情報漏洩リスク

スマホを使用してネット上で買い物をする場合や、オンラインバンキングを利用する場合、サイバー攻撃によって個人情報や銀行口座の情報がハッカーによって盗まれてしまう可能性があります。

スマホには個人的な情報、例えば電話番号やメールアドレス、写真、そしてアプリのログイン情報などが保存されています。こうした情報が悪意ある人々に盗まれると、あなた自身や友人や家族を巻き込んだトラブルにつながる可能性があります。そのため、スマホのセキュリティ対策は必要です。では、情報漏洩などの被害から身を守るためには、何をすれば良いのでしょうか。

スマホに必要な8つのセキュリティ対策

1.スマホのパスワードおよびロックの設定を行う

スマホのセキュリティを強化する最初のステップは、パスワードを設定することです。パスワードには、他人があなたのスマホにアクセスできないようにするために、強力なパスワードを選びましょう。また、他の人に知られないようにしましょう。それぞれのアカウントごとに違うパスワードを設定し、それらを定期的に更新することが推奨されます。パスワード管理アプリというものを利用すれば、複数のパスワードを安全に管理することが可能です。また、顔認証、指紋認証、パスコードやパターンなどのロックを設定して、自分以外の人がスマホを操作できないようにしましょう。

安全なパスワードとは、他人に推測されにくく、ツールなどの機械的な処理で割り出しにくいものを言います。安全なパスワードの作成条件としては、以下のようなものがあります。

(1) 名前などの個人情報からは推測できないこと

(2) 英単語などをそのまま使用していないこと

(3) アルファベットと数字が混在していること

(4) 適切な長さの文字列であること

(5) 類推しやすい並び方やその安易な組合せにしないこと

引用元：安全なパスワード管理（総務省）https://www.soumu.go.jp/main_sosiki/joho_tsusin/security/business/staff/01.html

2.不審なアプリやリンクに注意する

スマホには多くのアプリがありますが、安全であると信頼できないサイトやSMSなどからのアプリをダウンロードしないようにしましょう。公式のアプリストア（Google PlayやApp Store）からのみアプリをダウンロードすることをお勧めします。また、メッセージやメールで届いたリンクを開く前に、送信元が本当に信頼できるかどうかを確認しましょう。フィッシング詐欺（※）やマルウェアから身を守るために、注意深く行動しましょう。

※フィッシング詐欺とは、悪意のある攻撃者が信頼性のある組織のふりをして個人情報を盗もうとする行為です。これは普通、メールやメッセージを通じて行われます。その内容は、あなたのパスワードをリセットするためのリンクであったり、重要な通知があるので見てほしいといった内容であったりします。こうしたリンクをクリックすると、あなたの情報が盗まれる危険性があります。また、見知らぬ番号からの電話にも警戒しましょう。特に、個人情報を求めるような場合には注意が必要です。

3.OSやアプリを定期的にアップデートする

スマホのOS（オペレーティングシステム）やアプリのアップデートは重要です。これらのアップデートは新機能の追加だけではなく、セキュリティの脆弱性を修正するためのものであることも多いため、新たな脅威から守るためにも、定期的に更新を実施することを推奨します。

4.Wi-Fiの安全性を確認する

公共のWi-Fiを利用するときには注意が必要です。公共の無料Wi-Fiは便利ですが、常に安全とは限らず、利用者の個人情報が漏洩してしまうなどの危険性があります。個人情報を送信するようなアプリやウェブサイトにアクセスする際には、自分のモバイルデータ通信を使用するか、パスワードが必要なプライベートネットワークを利用しましょう。また、公共のWi-Fiを使用する場合は、より安全なVPN（仮想プライベートネットワーク）を利用することも検討してください。

5.SNS（ソーシャルネットワーキングサービス）でのプライバシー設定を行う

SNSは重要なコミュニケーション手段ですが、プライバシーの保護も必要です。以下のポイントに気をつけましょう。

a. プライバシー設定の確認: プライバシー設定を確認し、プライバシーにかかわる個人情報を一般公開にせず、友達やフォロワーとの共有範囲を制限しましょう。個人情報や位置情報など、他人に知られては困る情報を公開しないようにしましょう。

b. 友達やフォロワーの選択: 友達やフォロワーを受け入れる際には、信頼できる人々に限定しましょう。知らない人や怪しいアカウントからのリクエストには注意し、受け入れないようにしましょう。

c. 投稿文の慎重な管理: 投稿には慎重になりましょう。個人情報や個人的な写真をむやみに公開しないようにし、誹謗中傷をしたり、プライベートな写真を投稿したりするのは控えましょう。一度公開した情報や写真は、後で取り消すことが難しいため、慎重な判断を行いましょう。

6.アプリの権限設定を確認する

スマホのアプリは、個人情報やデバイスへのアクセスを要求する場合があります。アプリをインストールする前に、そのアプリが何の情報にアクセスする必要があるのかを確認しましょう。例えば、料理のレシピアプリであるのに位置情報へのアクセスを要求してくるといった、必要のない権限を要求してくるアプリには注意し、不要な権限を持つアプリを削除しましょう。

7.バックアップをとる

あなたのスマホが盗まれたり、壊れたりして情報が突然失われてしまった場合でも、重要な情報を守るために、定期的にバックアップをとっておくことを推奨します。

8.アンチウィルスソフトの利用

アンチウイルスソフトを利用することで、ウイルスやスパイウェアといったマルウェアからスマホを守れます。

まとめ

スマホは便利なツールであり、私たちの日常生活では欠かせないものとなっています。だからこそ、個人情報などを狙う悪意を持った攻撃者のターゲットになる可能性があります。そのため、自分の身を守るためにも基本的なセキュリティ対策の方法を理解することが重要です。学生の皆さんは、以下のポイントを守りながらスマホのセキュリティを強化しましょう。

1.　スマホのパスワードおよびロックの設定を行う
2.　不審なアプリやリンクに注意する
3.　OSやアプリを定期的にアップデートする
4.　Wi-Fiの安全性を確認する
5.　SNSでのプライバシー設定を行う
6.　アプリの権限設定を確認する
7.　バックアップをとる
8.　アンチウイルスソフトを利用する

これらの対策方法はあくまで例です。普段からセキュリティに注意し、安全に利用しましょう。また不安を感じたら身近な友人や保護者に相談することも大切です。本記事が、スマホを利用するすべての人々にとって、自分と自分の大切な人々を守り、より安全なスマホライフを送るために役立つ情報提供となれば幸いです。

SQAT^® 情報セキュリティ瓦版　2019年7月号

※図表番号は発表当時の媒体の番号となっています。

増加するリスト型アカウントハッキング攻撃への対策として

近年、Webサービスの広がりとともにリスト型アカウントハッキング攻撃が増加しています。IDとパスワードによる単要素認証はWebサービスのログインにおける認証機構として主流であり続けている一方で、リスト型アカウントハッキング攻撃（以下リスト型攻撃）の標的となっています。複数の被害事例があり、特に2018年以降は通販サイトやポイントの利用が可能なサイトでの被害が目立っています。

リスト型攻撃への対策と現状

総務省は平成25年12月にリスト型攻撃への注意喚起を行い、サイト運営者側に対策を例示しています。被害を受けたサイトの中にもこの対策を実行しているサイトはいくつかあるものの、被害は絶えることがありません。

その原因として次の3点が考えられるでしょう。

①リスト型攻撃はスキルが低くても実行可能
②リスト型攻撃のもととなる認証情報リストの流出
③ユーザの過半数が複数のWebサービスの認証機構に同じパスワードを使い回している現状

ここで注目すべきは③です。情報処理推進機構（IPA）の調査*1によればパソコン利用者の51.3%、モバイル端末利用者の60.4%がパスワードの使い回しをしていると回答しています。総務省が例示している対策の中でも注意喚起の実施が掲げられているにも関わらず、半数以上がパスワードを使い回しており、ユーザへの抑止力としてあまり機能していないことからも、パスワードの使い回しを自制すること自体が困難であると考えられます。　

今できる対策と認証機構の見直し

ユーザによるパスワードの使い回しの抑止が困難であることや、すでに大量のパスワードが流出していることを踏まえると、表6の「攻撃を予防する対策」の中で最も有効と考えられる対策はやはり多要素認証*2の導入でしょう。

多要素認証は、以前にも本誌で紹介した「FIDO2」が普及しつつあることで、新たな選択肢が増えてきました。FIDO2はユーザ視点ではスマートフォンなどでの生体認証を行うというステップで認証が完了するように見えることから、利便性が高いと考えられます。他方、システム側から見た場合、公開鍵認証と生体認証などの多要素による認証がセットになっていることから、ユーザの設定による認証強度の低下に影響されにくい方式であることは、サービスを提供する側からみて大きな利点といえます。すでにOSではWindows 10、Androidでのサポート、ブラウザではGoogle Chrome、Firefox、Microsoft Edge、Safariでのサポートが始まっていることも魅力でしょう。一方でWebアプリケーションにおけるAPIの規格に相当するWebAuthnは第二段階の勧告のドラフトがリリースされた段階となっているため、一部未確定の仕様がある点には留意する必要があります。

さらに、多要素認証を提供しているIDサービス事業者との連携など、自社でパスワードを管理しないサービスも普及しています。IDサービス事業者の主流はSNSのサービス事業者なので、SNSを利用するユーザの利便性が向上する可能性も高く、一部のIDサービス事業者ではFIDO2への対応の実施・予定を公表していることも注目されるところでしょう。一方で、このようなサービスとの連携を選択する場合には、求める要件と提供サービスの合致、サービス品質やセキュリティ対策、運用条件、コストなどの詳細な検討が必須となります。併せて、既存のWebアプリケーションの改修や、外部認証機構と連携するためのAPI開発などの工数、それぞれの品質管理やセキュリティ対策も追加で必要となるため、開発期間やテスト期間をしっかり確保する必要があります。

多要素認証に多くのユーザが移行した後も、単要素の認証機構は一定数残存することでしょう。単要素認証として一般的なID・パスワードによる認証では、パスワードのパスフレーズ化、流出パスワードや汎用パスワードの排除機構の導入、より高度な複雑性を要求するパスワード認証機構を用意する、といった対応が必要です。しかし過去の事例において流出したパスワードがリスト型攻撃に利用されたことを踏まえると、パスフレーズ化を進めた先にも再びリスト型攻撃が繰り返される可能性があります。また、将来的にユーザに対して多要素認証やIDサービス事業者との連携への移行を促すことも必要になるという前提での暫定的な対応となる可能性も否定できません。

認証機構そのものの問題ではありませんが、二次的なリスクとして多くのサイトで休眠アカウントの廃止が行われていないという問題もあります。休眠アカウントを廃止することによる登録ユーザ数の減少や廃止対応にかかる工数などが問題となっているのものと推測できますが、アクティブユーザとして掘り起こす活動を行ったうえで、それでもなお残存するアカウントをどこまで抱え続けるのか、リスクがどの程度あるのか、といった検討もされるべきではないでしょうか。

リスト型攻撃の対策に挙げられた項目の多くは、過去5年ほどの間大きく変化していません。しかし、対策項目に対して適用できる技術やサービスは大きく変化しつつあり、今まで現実味がなかった対策項目も実現に向けて検討できる段階にあります。今こそ積極的に認証機構を見直すチャンスといえるでしょう。

Security Report TOPに戻る
TOP-更新情報に戻る

タグ: パスワード

安全なスマホ利用を目指して
-学生必見！8つのセキュリティ対策とは-