先日、私の妻が襲われ、バッグとその中身をすべて盗まれました。その話を聞いたときに私が尋ねた質問は次の 3 つです。
- 無事かどうか。
- クレジットカードを停止して、鍵屋に鍵の取り替えを頼んだかどうか。
- 携帯電話を盗られたかどうか。
3 番目の質問はスマートフォンについてでした。なぜなら、スマートフォンはすでに私達の生活に密着しているからです。個人情報が含まれていたり、財務情報に直結していたりするなど、財布よりもはるかに貴重な情報が詰まっていると言えるでしょう。スマートフォンには、名前と住所が記載された運転免許証は(今はまだ)入っていませんが、友人全員の連絡先情報が入っています。一部の機種は、クレジットカードやデビットカードのように金融取引を実行できる機能も備えています。また、銀行口座にアクセスするためのアプリは、ほぼすべてのスマートフォンで実行できます。
さらには、スマートフォンは、プライベートでも仕事でも隔てなく使われているため、(偶然にせよ意図的にせよ)携わっている仕事に関する情報も豊富に含まれています。
一度盗まれたスマートフォンを取り戻せる確率は、おそらく限りなく 0% です。では、紛失した場合はどうでしょうか。タクシーの後部座席や売店に置き忘れたスマートフォンが戻ってくる確率はどれくらいでしょうか。またその間、端末とその中の情報(こちらの方が重要です)は一体どうなるでしょうか。
シマンテックでは、Security Perspectives Inc. のスコット・ライト氏のご協力のもと、調査をすることにしました。シマンテックスマートフォンハニースティックプロジェクト(Symantec Smartphone Honey Stick Project)(英語)は、「紛失した」スマートフォン 50 台を対象とした実験です。私達はこれらの端末を意図的に紛失させる前に、ダミーの企業データや個人データをまとめて端末に入れ、さらには、その端末が発見された後、これらのデータに対して何が行われるかをリモートで監視できる機能を追加しておきました。
まずは 50 台のスマートフォンを、ニューヨークシティ、ワシントン D.C.、ロサンゼルス、サンフランシスコ、オタワ(カナダ)の 5 都市で落とします。エレベーターやショッピングセンター、フードコート、バス停など、人通りの多い公共の場所にスマートフォンを置き忘れたふりをして、成り行きを見守ります。
端的に言うと、あまり良い結果ではありませんでした。スマートフォンを見つけた人のうち、持ち主に返そうとした人は半数だけでした。
スマートフォンが 50% の確率で戻ってくるのであれば、まだグラスに水が半分も残っていると楽観視する人もいるでしょう。しかし、残念ながら、残りの水も飲み干されたも同然です。スマートフォンを返そうとした人でさえ、その中のデータを見ようとしていたのです。実際には、「紛失した」スマートフォンの 96% が、発見者によって何らかのアクセスを受けました。
最初は持ち主を割り出そうとした可能性もありますが、私達の調査では、これらの端末の発見者が持ち主の名前以上の情報に対して、良く言えば「好奇心」を持ったことがわかりました。代表的な例は次のとおりです。
- 発見者の 6 割がソーシャルメディア情報や電子メールを見ようとした。
- 発見者の 8 割が企業情報(「HR Salaries(給与)」や「人事(HR Cases)」といった明確な名前の付いたファイルや、その他各種の企業情報)にアクセスしようとした。
会社の重要情報のセキュリティ保護に多少なりとも関わりのある人にとっては、これらは衝撃的な数字でしょう。しかし、仕事に関する情報だけがリスクにさらされているわけでも、心配の原因となるわけでもありません。「ハニースティック」スマートフォンには、リモートコンピュータやネットワークにアクセスできるように見せかけたアプリケーションも組み込まれていました。さすがに、そこまでアクセスしようとした人はいませんでしたが、発見者の 2 人に 1 人は「Remote Admin(リモート管理)」アプリを実行しようとしました。
これは一般のユーザーにとっても一大事です。この調査では、紛失したスマートフォンが誰かに発見された場合、プライベートの写真やソーシャルメディアのアカウント、電子メールなどにアクセスされてしまうだけでなく、発見者のほぼ半数が持ち主の銀行口座にもアクセスしようとしたことが判明したのです。
ここで言いたいのは、「人間は悪い」ということではありません。人は何気なく好奇心を持ち、美味しそうなリンゴを目の前に置かれたら、つい一口かじってしまいがちだということです(中には何口もかじる人もいますが)。ここから得られる教訓は、自分でモバイル端末を保護する必要があるということです。幸い、これはそれほど難しいことではありません。
実験に使われたスマートフォンに 2 つの対策を講じていれば、(プライベートも仕事も)すべてのデータを守れたはずです。1 つは、パスワードによる保護です。パスワードによるセキュリティを施すだけで、発見者が何気なくデータを見るのを防ぐことができるでしょう。もう 1 つは、スマートフォンを紛失したら、リモートから端末上のデータをワイプ(消去)する機能を付けることです。こうすれば、たとえ確信的な窃盗犯の手に渡ったとしても、データが見られることはありません。また、紛失したスマートフォンを見つけるためのソフトウェアをインストールしておくのも良いでしょう。
シマンテックでは公式の推奨事項として、企業向けと一般ユーザー向けに以下のことを提唱しています。とは言え、結局のところ、上記の 3 つの簡単な対策とツールを利用すれば、スマートフォンを紛失した場合に伴うリスクの大半は解消できます。
ここで、個人的な話に戻りますが、まず妻の身は無事でした。クレジットカードを停止し、鍵屋も呼びました。さらに幸いなことに、スマートフォンはポケットに入っていました。これに関連して、もう 1 つアドバイスがあります。スマートフォンは、常に身に付けるか、安全な場所に置いておきましょう。
推奨事項
企業の場合は、モバイル端末や機密情報を確実に保護するために、以下の手段を講じることをお勧めします。
- 仕事にモバイル端末を利用する従業員に対して、組織で厳格なセキュリティポリシーを策定および施行する。これには、パスワード対応のスクリーンロックの義務付けなどが含まれます。この点では、モバイル端末管理ソフトウェアやモバイルセキュリティソフトウェアが有用です。
- 企業は端末のみを重視するのではなく、情報の保護(端末がどこにあっても安全が確保されるよう、情報をセキュリティで保護すること)を重視する。
- モバイル端末に関するオンラインでのリスクと物理的なリスクの両方(端末の紛失または盗難による影響など)について従業員を教育する。
- 会社のネットワークに接続しているモバイル端末のインベントリ情報を取得する。把握していないものを保護または管理することはできません。
- 端末の紛失や盗難に遭った場合の対処法を全員に知らせるために、正式なプロセスを定める。モバイル端末管理ソフトウェアは、このようなプロセスの自動化に役立ちます。
- モバイル端末のセキュリティと管理を企業全体のセキュリティと管理のフレームワークに統合して、同様に管理する。基本的に、モバイル端末をまさに企業のエンドポイントと見なして扱ってください。
一般のユーザーの場合は、モバイル端末と端末上の個人情報を確実に保護するために、以下の手段を講じることをお勧めします。
- スクリーンロック機能を使って、複雑なパスワードや「ロック解除用」パターンで端末を確実に保護する。これは最も基本的なセキュリティ対策で、ユーザー側に必要な手間は最小限で済みますが、他人から個人情報を守る重要な障壁となります。
- スマートフォン専用のセキュリティソフトウェアを使う。このようなツールは、ハッカーの攻撃を阻止し、パブリックネットワークの利用時にサイバー犯罪者に情報を盗まれたり、自分のことを調べられたりするのを防ぐことができます。さらに、セキュリティソフトウェアを利用して、紛失や盗難に遭った端末を見つけたり、リモートから端末のロックやデータのワイプ(消去)まで実行したりすることもできます。
- 外出中は必ず、モバイル端末を近くに置き、端末をどこに置いたかを常に意識して、決して置いたままその場を離れない。また、ステッカーやケースなどの目印になるものを付けておくと、他人がすぐ隣に座ってきた場合でも、他人と自分の端末の区別がつきやすいのでお勧めです。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。