000000 ランダム
 ホーム | 日記 | プロフィール 【ログイン】

IPA情報セキュリティブログ

楽天プロフィール

設定されていません

カレンダー

カテゴリ

バックナンバー

2017.11
2017.10
2017.09
2017.08
2017.07
2014.06.23
XML
独立行政法人情報処理推進機構 技術本部セキュリティセンター 調査役
加賀谷 伸一郎

皆さん、こんにちは。今回も、引き続きスマホのネタでいきたいと思います。今までの記事をお読みになった皆さんは、自身のスマホに怪しいアプリを勝手に入れさせない、画面ロックを掛けている、さらにスマホに紐付いているアカウント情報の管理をしっかりとされていることと思います!

さて、おかしなアプリを入れられないように気を付けていれば、ストーカー被害には遭わない・・・・訳じゃないんですよ、奥さん!まだまだ気を付けなければならないことがあります。それは、「スマートフォンに紐付いているアカウント情報」です。具体的に言うと、iPhoneの場合はApple IDとそのパスワード。Androidの場合はGoogleアカウント、すなわちGmailアドレスとそのパスワード、です。

それでは、「スマートフォンに紐付いているアカウント情報」が他人に知られていると、どんなことが起きるのでしょうか。例を見ていきましょう。

iPhoneを使っている人のApple IDとそのパスワードが分かれば、インターネット上にあるApple社の「iCloud」サイトにログイン出来ます。以下が、パソコンのブラウザからログインした様子です。
20140623_01

「メール」「連絡先」「カレンダー」「メモ」「iPhoneを探す」などというアイコンが並んでいます。勘の鋭い読者さんなら、もうお気付きですよね!そうです。iPhoneが手元に無くても、パソコン上でiPhoneに届いたメールを読めたりiPhoneの連絡先を見たりカレンダーで予定を確認したりすることが出来るんです。これは、本来はスマホの持ち主のための機能ですが、Apple IDとそのパスワードを知っている人であれば、誰でも使えてしまいます。例えば、「カレンダー」や「iPhoneを探す」をクリックすると、以下のような画面が表示されます。
20140623_02&03

これらの画面を見てお分かりのように、自分のスケジュールや現在地がバレバレです。もし、ストーカーさんがこんな情報を手に入れていたら・・・怖いですね!!そうならないためにも、Apple IDのパスワードは、決して他人に教えてはいけません。

次にAndroidの場合はどうでしょうか。Googleアカウントは、Googleの様々なサービスに共通で使われます。つまり、Googleアカウント情報(Gmailアドレスとそのパスワード)が誰かに知られれば、Androidスマホが手元に無くても、パソコン上でGoogleの様々なサービスが勝手に使われてしまうということは、想像に難くないですね。以下に、例を示します。

メールを読まれたり・・・
20140623_03

スケジュールを見られたり・・・
20140623_04

現在地を知られたり・・・
20140623_05

これだけお見せすれば、十分に恐ろしさが分かったと思います。が、あえてもっと見せちゃいます。過去の移動履歴まで見られちゃうのです!! ※注)これらは、全て筆者の出張の軌跡です(笑)。
20140623_06

こうならないためにも、Apple ID同様、Googleアカウント情報、特にGmailのパスワードは絶対に他人に教えてはいけません。

どうですか?「スマートフォンに紐付いているアカウント情報」が他人に知られてしまうと、もうそれだけでストーカーされまくりだということがお分かりいただけたかと思います。対策としては、前述したように、他人にアカウント情報、特にパスワードは教えてはならないということです。

でも、iPhoneの場合は、アプリをインストールしようとすると必ずパスワードを入力する必要があります。もし、他人にアプリのインストールを依頼する必要がある場合はどうしましょう?その一方でAndroidの場合は、スマホの初期設定の時くらいしかパスワードを入力する機会は無いでしょう。でも、スマホを買って最初から設定をお願いしちゃう場合はパスワードを知らせる必要があります。どうしたら良いでしょうか。
答えの一例を挙げておきます。例えば・・・
  • パスワードはスマホの持ち主本人が入力するようにする
  • パスワードをあらかじめ仮のものに変更しておいた上でスマホを他人に操作してもらい、その後、また元のパスワードに戻す
というようにすると良いでしょう。今後のために、パスワード変更の手続き方法をあらかじめ調べておくと良いでしょう。

今回は、ここまで!・・と言いたいところですが、まだ終わりじゃないんですよ、奥さん!言うまでもありませんが、推測が容易な文字列や桁数が少ない文字列は、パスワードにしてはいけません。総当たり攻撃や辞書攻撃によって、簡単に解読されてしまいます。また、パスワードを他人に教える訳ないじゃん!って人でも、油断しがちなのが「パスワードの使い回し」です。最近、パスワードリスト攻撃による被害報道が相次いでいます。パスワードリスト攻撃とは、悪意のある者が、何らかの方法で事前に入手したIDとパスワードのリストを流用し、自動的に連続入力するプログラムなどを用いてそれらIDとパスワードを他のサイトのログイン画面で入力することで、ウェブサイトにログインを試みる手口です(図参照)。
20140623_07

一般的には、セキュリティ対策が不十分であるサイトが狙われて奪われたIDとパスワードが、他の有名サイトなどでログイン試行されることが多いです。みなさん、たくさんのウェブサービスをお使いでしょうが、パスワードの使い回しは避けましょうね!以下の情報を参考にしてください。

IPA:2013年8月の呼びかけ
「 全てのインターネットサービスで異なるパスワードを! 」
https://www.ipa.go.jp/security/txt/2013/08outline.html






最終更新日  2014.07.16 17:03:49


Copyright (c) 1997-2017 Rakuten, Inc. All Rights Reserved.