当ブログ2023年3月6日の記事「【警告】iPhoneのパスコードに注意、Apple IDを乗っ取りで被害甚大に!」 で、安直なパスコードを盗み見られ、その後iPhoneを奪われて相当な額の財産を奪われたという話を書きました。筆者の周囲の人と話をしていると、どうもiPhone(Androidでも)のパスコードに関する認識がかなり甘いようです。
<参考リンク>
【注意】iPhoneをパスコードごと盗まれる事件が多発。金銭と精神に大ダメージ
https://iphone-mania.jp/news-525873/
パスコードとiPhoneを盗まれるのがまずい理由
近年、iPhoneでできることが急増しておりオンラインバンキングや決済アプリでの資金移動、Apple Payでの支払いなどがあります。コミュニケーションではLINEやfacebook、twitter、Tiktokなど日本中・世界中と繋がるツールがあります。
スマホでいろいろなことをやってしまう人ほどパスコードと端末を奪取されることで金銭的・社会的被害が大きくなる可能性が高いのです。
重要なアプリでは起動時に生体認証がかかるから大丈夫!とか思っていませんか?
iPhoneではパスコードさえわかれば生体認証を削除したり第三者の生体情報(指紋や顔)を登録することも可能でiOSやiCloudが管理している情報は丸裸にできます。それほど重要なのがパスコード。パスコードは自宅の玄関の鍵よりも重要です。
パスコードがわかればApple IDのパスワードをリセットして別のパスワードを登録しApple IDを完全に乗っ取り、そのスマホの中の情報どころかiCloudの情報も自由に使うことができます。
すなわち他のiPhoneやiPad、Macが使えなくなるということ。Apple IDを乗っ取られますので「iPhoneを探す」も使えません。電話会社に連絡してSIMを無効にしてもWifiや違うSIMを挿せば終わりです。
iPhone本体とそのパスコードを盗まれたら、本来の持ち主ができることはほとんどないことを覚えておきましょう。
一つ重要なことを覚えておいてください。
Appleから見れば、iPhoneのパスコードを知っているということは、そのiPhoneとApple IDの正当な所有者であることの証明である。
想定できる被害
iPhoneに限らずAndroidでもパスコードとスマートフォンをセットで盗まれた(時間的に同時とは限らずパスコードを盗み取ったスマホを別の機会に狙いをつけて盗み取るなど)場合には同じようにすべて盗み取られる可能性があります。Androidユーザーも他人事ではありません。
パスコードとそのスマートフォンを盗まれることで、少なくとも以下のような被害が想定できます。
・銀行アプリや資金移動アプリにログインしてお金を盗まれる。
・SNSアプリを使って、日本中・世界中にあらぬメッセージや誹謗中傷を発信され社会的信用が失墜する。
・SNSアプリを使って犯罪の犯行予告を行い正当な所有者がとんでもない罪の濡れ衣で捕まる。
・SNSアプリを使ってスマホ内の個人情報を全公開される。
・タッチ決済やQRコード決済を悪用される。
2番目〜4番目ではお金では解決できない、それこそ人生が終わってしまいかねない被害になります。
Apple IDだけではなく、そのiPhoneで使っているGoogleアカウントも危うくなることも覚えておきましょう。そちらのほうも対策が必要です。
パスコードを安全に保つ基本
ひどく単純で原始的ですが効果的なのは以下の方法です。
・英大文字・英小文字・数字を混ぜた10桁以上<必須です、数字のみは何桁であっても絶対ダメ>
・極力生体認証を使う(指紋は適宜登録し直さないと季節により読み取りにくくなる、顔認証iPhoneに買い替えることを強く推奨)
・家族以外が近くにいる場所や他人の見ている前ではパスコードは入力しない
・屋外では望遠レンズで撮影されている可能性も考えて、テーブルの下とか洋服や体で隠して入力するなど最大限の用心をする
・適宜パスコードを変更する(犯罪者はあなたのパスコードを盗み見てから、別の機会にあなたのiPhoneを狙うかもしれません)
スマートフォンの紛失・盗難は間髪置かず届け出る
警察に届ける
スマートフォンを盗んだ犯人が、上記のような犯行の後本来のスマホ所有が気づかないうちに元の所有者のところにわからないように戻したりすると、盗まれたことの証明すらできなくなり、犯罪予告は犯罪の未遂罪で捕まる可能性が濃厚になり無実の照明もできなくなります。なんせスマートフォンなので場所を問わずできますから、本来の所有者のアリバイなんか役に立ちません。
かくして不幸な被害者には犯罪者のレッテルが貼られ、刑務所暮らしのみならず多額の賠償金請求をされて人生終わるかも!
それこそ「スマホを落としただけなのに」人生が詰んでしまう可能性も秘めています。
iPhoneやAndroidスマホの紛失・盗難に気付いたら深夜であっても真っ先に最寄りの警察に届け出てください。スマホを見つけるのが目的ではなく、無くしたこと客観的な証拠として警察に残すのが目的です。届出が出されていれば、盗まれた・紛失したスマホが悪用されたことを警察は認識できます。
警察へ届けておくことで、クレジットカード会社や銀行はスマホの取引やそのカードを停止するだけではなく、届出以降の使用を不正使用と認識でき所有者への被害拡大が防げます。SNS悪用にしても正当な所有者ではない者からの投稿ということで言い訳ができます。
回線事業者に回線停止を依頼する
昨今多く使われているSMSによる2段階認証を阻止するためです。
SNSのパスワードを変える
それだけではなく、当該スマホで使っていたSNSのパスワードは直ちに変更するかアカウント削除しましょう。悪用を防ぐためです。多少の金銭的被害よりSNSによる被害のほうが遥かに大きくなる可能性があります。
さらにSNSのサイトから、現在ログイン中のデバイスを全て強制ログアウトさせます。これをしないとパスワードを変えても意味がない可能性があります。
銀行や決済アプリの対策
銀行アプリや決済アプリにも対策が必要です。
・ログイン情報をアプリに記憶させない(デフォルトでは記憶されたりするので要注意)
・可能であればアプリ起動パスワードを付与する(パスコードと同じものは絶対使わない)
・ログインパスワードは銀行ごとに変えること、絶対使い回しはしない。
・使用後は必ずログアウトする
パスワード管理ソフト(1Passwordなど)にも銀行アプリや決済アプリの情報を入れなければ、単にAppStoreから銀行アプリをダウンロードしただけと同じことで何の役に立ちません。
しかし銀行アプリによっては一度設定するとログアウトしても口座番号を記憶して消すことができず、生体認証で簡単にログインできてしまうものもあります。非常に便利で使い勝手が良いのですが、その分どうしてもセキュリティは甘くなります。
仮にパスワード管理ソフトに情報を入れるにしても比較的安全なやり方があります。
・どの銀行かぱっと見わからないようなタイトルにする(三菱UFJとか露骨に書かない)
・口座番号はいかなる形であれスマホにはいれない(使うときはキャッシュカードを見る)
・パスワードも裸では入力しない、自分だけがわかる形に暗号化する(別記事で紹介します)
まとめ
しつこいけれど、iPhnoeやAndroidのパスコードは「大文字・英小文字・数字を混ぜた10桁以上」を使い「数字のみのパスコード」は絶対使ってはいけない。
パスコードを盗まれると、あとはそのiPhoneやAndroidを盗めばあらゆることがやられ放題で、それは単に金銭的被害だけではなく使っているSNSの悪用で社会的信用失墜や犯罪予告による濡れ衣を着せられる可能性を否定できない。