iPhoneのパスコード盗難リスクを確認せよ、身近なスマホに特大の危機が潜む可能性。

〇 先週のニュースで最も気になったのは、米Wall Street Journal（WSJ）が2023年3月2日に掲載した記事「iPhoneパスコードの盲点、個人情報盗む手口とは」である。

読み進めると、寒気がするほど恐ろしい気分になる。iPhoneに限らず、生活のすべてが集約しているスマートフォンに致命的と言えるほどの大きな危機が潜んでいる可能性があることを、この記事は示している。

数分でデータにアクセスできなくなり、24時間後に口座から大金が消えた。

米感謝祭の週末である11月のある日、スタートアップ企業で働く31歳の女性が、ほんの少し前に会ったばかりだという男に米Apple（アップル）製スマートフォン「iPhone 13 Pro Max」を盗まれたという。そしてわずか数分以内に、自分のアップルアカウントと、それと連動する写真、連絡先などのすべてのデータにアクセスできなくなり、24時間後には自分の銀行口座から10万ドル（約1360万円）が消えていたというのである。

サイバー攻撃というと、黒いフード付きのパーカーを来たハッカーが一般人には理解不能なコードを打ち込んでシステムに忍び込み悪事を働くというイメージがある。アップルは、iPhoneの機能を念頭に置いた上で、自身をデジタルプライバシーとセキュリティをリードする企業だと自負している。だが先ほど紹介したiPhoneのパスコード盗難は、そうした専門知識や機能とはあまり縁がないような「ローテク」な手法で犯罪の遂行に成功している。

この記事においてWSJは、取材した被害者は全員、夜の社交場でiPhoneを盗まれたと語ったと伝えている。記事中では、出会ったばかりの犯罪者にiPhoneを盗まれたというケースに加え、暴力行為によってスマホとパスコードを渡すように脅された、薬を飲まされて翌朝目を覚ましたらスマートフォンがなくなっていたなどの事例が紹介されている。

                                                      （出所：123RF）

スマホの盗難は避けようがない場合もある。ここで問いたいのは、盗難に遭ってしまった際にパスコードが「とりで」としてどれだけ機能するかである。犯罪者がひとたびパスコードを奪って被害者のiPhoneの中に入れば、アップルアカウントを消去し、銀行口座から全財産を引き出すといったことが容易なのは想像に難くない。万が一パスコードを盗まれたら、どんなことをされてしまうのか、考えてみてほしい。

例えば、銀行アプリにパスワードを記憶する機能があると、認証なしで振り込みまでできてしまうかもしれない。Webブラウザーのパスワード管理機能を使っていると、スマホからブラウザーにアクセスすれば、ほとんどのサービスはパスワードを入力することなく「突破」できてしまうだろう。突破という言葉を使うのも違和感があるほど簡単なことだ。

つまり、全財産を失ってしまうようなリスクを持つ端末を、私たちは常に持ち歩いている。しかも、人によっては誕生日などの簡単に見破れるパスコードしか設定していないような状態で、である。筆者は、はるか昔中学生のときにひそかに思いを寄せていた同級生の女の子の誕生日をたまたま思い出し、パスコードとして設定していたことがあった。もちろんセキュリティ強度を誇れるようなものではないが、家族の誕生日をパスコードにするよりはマシかもしれない。

このリスクはもちろん、Androidを含めたスマートフォンすべてに当てはまるが、特に端末が非常に高価なiPhoneはターゲットになりやすいというのは、一般的によく聞く話である。この情報を得て「まずい」と感じた方は、ぜひともパスコードの盗難リスクを自分事としてとらえてほしい。

                                                     （出所：123RF）

ソーシャルエンジニアリングも軽視できない。

WSJが上記の記事と併せて掲載している9分におよぶ解説動画では、すぐにできる対策についても触れている。iPhoneに設定するパスコードは最低でも6けたにし、顔認証を併用する。複数持っている銀行アプリなどのパスワードはそれぞれ別のものにし、サードパーティ製のパスワード管理ツールの使用はやめる。パスワードなどを撮影した写真は削除しておくといった対策を紹介している。

総務省は「国民のための情報セキュリティサイト」において、外出先で業務用端末を利用する場合の対策を解説している。そこでは盗難、紛失に備えて、持ち運ぶ必要のない機密情報、個人情報は保存しないこと、容易に推測されにくいパスワードを設定して他人には利用できないようにすること、指紋認証などの生体認証付きの端末を使用すること、遠隔ロックする機能を利用することなどを推奨している。

こうした対策の一部は、ハッキングのテクノロジーを使わない攻撃への対策にもなる。のぞき見などでパスコードを盗むような手法は「ソーシャルエンジニアリング」と呼ばれる。内閣サイバーセキュリティセンター（NISC）は2022年8月16日に、Webサイトでの「普及啓発活動」のコラムでソーシャルエンジニアリングのリスクを紹介している。このコラムでは「ソーシャルエンジニアリングにひっかかると、被害者は言葉巧みに攻撃者の意図通りの操作を促されます。被害者は騙されているため、不正アクセスや金銭被害などの実害が見えるまで攻撃されたことに気づかない、つまり、被害者には攻撃が見えないことがソーシャルエンジニアリングの特徴です」と説明している。

例えば生体認証を使えば、パスコードを入力するところを見られずに済むので、ソーシャルエンジニアリング対策になる。ただし持ち主が寝ている時に顔認証機能を利用して不正にログインするといった手口もあり、万全とは言えず注意が必要だ。

                                                        （出所：123RF）

WSJのiPhone盗難に関する記事で紹介したケースは、盗難や暴行を伴っている点でさらに悪質である。だがソーシャルエンジニアリングによる犯行は、ハッカーのような知識がなくても、誰でも実施可能であるという点で共通している。手口が単純であるため犯罪者候補の裾野が広いことを考えると、最新技術を使うセキュリティ犯罪よりも、よほどリスクが高いと言えるだろう。

繰り返すが、今一度自分のスマートフォンが盗まれ、そのパスコードを知られてしまったときのリスクを考えてみてほしい。自らの人生をふいにするほどの危機が潜んでいるかもしれない。