気づいている人が多いのか多くないのか、iPhoneのパスコードを4桁の簡単で安直なものにしている人が多いようです。しかし、それらは非常に危険であり、Apple IDの乗っ取りなどは簡単にやられてしまいかねませんし、Apple Payやオンラインバンキングで金銭被害に合う可能性も非常に高いのです。
便利さとセキュリティの高さは両立しない
絶対覚えておいていただきたいのが「便利さとセキュリティの高さは両立しない」ということです。
すごく極端な例でいえば、パソコンでパスワードなしで使うといちいちパスワードなんかいれなくても起動すればすぐ使えるので便利ですが、だれでも使えてしまいデータ盗難・破壊の危険がでてきます。
一般消費者が利用位可能である妥当な価格範囲では、便利さとセキュリティを両立するのはかなり困難であることを覚えておきましょう。
iPhoneパスコード盗難による被害
Wall Street Jounalが最近報じました。
(この記事は無料でも全部読めるようですのでぜひご一読ください)
以下はWSJによる動画で被害者へのインタビューです。英語のYouTubeですので字幕と日本語翻訳をONにしてご覧ください。被害者たちは盗難後の24時間以内に数千ドルの預金を失っています。
4桁のパスコードは簡単に盗み見られます。電車の中で隣りに座った人がパスコードを入れるのを見るともなく見て「XXXX」だなとたやすくわかってしまいます。
目の端で見ていてもわかってしまいますし、自分が立っている場合でも隣や後ろにいる人から見えてしまいますので、絶対に他人の目があるところでパスコードを入れるべきではありません。
やむを得ない場合は壁に向かい体で覆って隠して入力するくらいの用心が必要です。敵は望遠レンズで撮影している可能性だってあります。撮影して繰り返し見ることで4桁くらいはわかってしまいます。
iPhoneパスコード盗難リスクを下げる工夫:
・Face IDやTouch IDを使うことを基本とする
・パスコードは面倒でも英数字混在の8桁以上を使う
・パスコードはApple Watchを含め他のいかなるデバイスにも使い回さない
・パスコードに4桁数字は論外、数字だけにするなら最低8桁以上で簡単な繰り返しは避ける(「12341234」とか)
・数字だけのパスコードでもiPhoneでは「英数字」を指定して、入力時に仮想フルキーを出すようにする。これにより指の動きで盗み見しにくくなる。
iPhoneのパスコードが重要な理由
iPhoneパスコードはApple IDセキュリティのアキレス腱だから
Apple IDでログインした状態のiPhoneとそのパスコードがあれば、Apple IDを乗っ取るのに古いパスワードは必要ありません。詳細は書きませんがこの条件がそろえば簡単にアカウント乗っ取りができてしまいます。
アカウントを乗っ取られてしまえば、iCloudを使っての遠隔消去も使うことができません(Apple IDが乗っ取られたので使えない)。
単にApple IDとパスワードが漏れたとは次元が違います。パスコードとともに信頼できる設定になっているiPhoneが盗まれたら、Apple IDにつながる情報資産、それらからつながるありとあらゆる有形・向けの資産を短時間のうちに失う可能性が出てきます。
iPhoneとそのパスコードを盗まれてしまうと、多くのサイトが使っているSMSを使った2段階認証や認証アプリを通じたセキュリティもほぼ無意味です。
現在のセキュリティ対策はiPhoneなどのスマートフォンは盗まれていないという大前提にたっています。パスコードごとiPhoneを盗まれたら盗まれた貴方が悪いということです。
乗っ取りから復活するには時間と手間がかかるから
Apple公式情報です。
単にApple IDのパスワードを忘れてしまった場合はすぐには金銭的被害はおそらく発生しないでしょうが、悪意を持った人がiPhoneとそのパスコードを持ってしまった場合は話は深刻です。
すなわち正規の所有者ができるのと同じことを、もっと手慣れた素早い手つきであっという間に全てを盗み取れるということです。
敵はiPhone(Apple IDとApple IDのパスワード)、SMS2段階認証に必要な電話番号を入れたスマートフォン(=iPhone)、認証アプリを入れたスマートフォン(=iPhone)など全てを握っていますので、被害者にできることは多くありません。
Apple ID乗っ取りリスクと被害を小さくする方法
守るべき10か条
基本的なことしかありません。
(1) iPhoneのパスコードは複雑な数字8桁以上、できれば英数字のものにする。
(2) iPhone複数台持ちでは決済端末を決めてそちらにしかApple Payをセットしない。
(3) パスコード入力は絶対に他人に見られないようにする。
(4) 自宅以外では何があってもiPhoneをテーブルやデスクにおきっぱなしにしない、席を立つ時は必ず一緒に持つ、何があっても手放さない。自分の肉親以外は親友であっても信用しない。肉親(親子)以外は全て盗人であると思え。
(5) Apple WatchのパスコードはiPhoneのものと絶対に同一にしない。
(6) Apple WatchでiPhoneやiPad、Macのロック解除をする機能は絶対つかわない。
(7) パスワード管理にiCloudキーチェーンは使わない、代わりにApple城から独立したセキュリティの1PasswordやenPassといったサードパーティのパスワード管理アプリを使う。
(8) ショッピングサイトや証券会社、保険会社、オンラインバンキングのパスワードはiPhoneやブラウザには記憶させない(自動入力させない)。
(9) iCloud(他のクラウドも)には、免許証やIDカード、マイナンバーカードなどの写真や情報を保存しない(偽造に使われる可能性がある)。
(10) iCloudキーチェーンは使用しない、ブラウザにパスワードを覚えさせることは絶対にしない。
要するにiPhoneはクレジットカードやキャッシュカード、免許証や多額の現金を入れた財布と同じものだと思えば、カフェでテーブルに置きっぱなしにするようなことはしないと思います。
海外旅行には専用スマホと専用iPhoneを使う
海外旅行は日本より圧倒的に治安が悪い場所が多いので要注意です。海外ではスマートフォンは盗まれるかもしれないと思ったほうがよいでしょう。特にiPhoneは狙われます。
(1) 海外旅行には国内で使うiPhoneはもっていかない、専用のスマートフォンにする。できれば高価なiPhoneではなく安い普及型Androidがベターです。
(2) 海外旅行用スマートフォンには、通常使うApple IDやGoogle Accountは使わない、その旅行専用のApple IDを作る。
(3) 海外旅行用のスマートフォンには国内旅費の少額のモバイルSuicaのみにしておく。クレジットカードはApple Payやおさいふケータイには入れない。
(4) コード決済はプリペイドで現金チャージのみ(クレカ連携しない)の少額にする。PayPayであれば空港にもあるセブン銀行ATMでチャージできる。
すなわち、盗まれてしまうことを前提にして被害は数千円、多くとも数万円程度に収まるようにするのです。
写真も全部スマートフォンではなく、ここぞ!というときの写真は普通にデジカメを使いましょう。どうでもいいスナップはiPhoneでもOKです。
海外旅行では盗まれてしまうかもしれないことを前提にして対策を立てるわけですね。
盗まれた後が恐ろしい
iPhone本体とパスコードが盗まれると簡単にApple IDを乗っ取ることができ、さらにFace IDやTouch IDは作り直せる。同じApple IDを使っている自分の他のデバイス(iPadやMac)も全て同じApple IDから締め出されてしまい、iPhoneのリモート消去もできない。
その結果、Apple Payの悪用、iCloudキーチェーンにオンラインバンキングのパスコードや取引パスなどが入っていれば預金はごっそり盗まれてしまうし、ショッピングサイトで多額の買い物をされたする可能性がある。
iPhoneとパスコードを盗まれた場合、できることはあまり多くないが、まずSIMカードの無効化(SMS認証を止める)、使用しているオンラインバンキングの緊急停止、Apple Payに登録してあるクレジットカードの緊急停止、オンラインショップに登録してあるカードの緊急停止など山ほどの緊急対応が必要になる。
結果的に、クレジットカードなども一時的に使えなくなる可能性が出てくるし、公共料金などの定期支払いクレジットカードも変更になる。
いますぐやるべきこと
・Apple WatchでのiPhoneロック解除は使用しない。
・パスコードは8桁以上の数字、できれば英数字、4桁は絶対絶対絶対何があってもダメ。
・パスコードに数字だけ使う場合でも、「英数字」を指定する。これにより仮想フルキーボードでパスコードを入れるので盗み見されるリスクが減る。
・iCloudキーチェーンをつかわない、覚えさせているパスワードは全削除。
・1PasswordやEnpassといった、Apple IDとは独立したパスワード管理アプリを使う。
・Apple Payには多数のクレジットカードを登録しない、メインカードではなサブカードのみが望ましい。できればプリペイドのみにする。
・写真(iCloudフォトも含む)には保険証や免許証・IDカードの写真は絶対入れない(悪用され偽造に使われる)。
・ショッピングサイトにはクレジットカードを登録しない、登録したら注文確定後すぐに消す。
・iPhoneの手帳型ケースには、絶対にクレジットカード・免許証・マイナンバーカード・キャッシュカードは入れてはいけない。
どんどん不便な方向に追い込んでいくわけですが、多少不便でも各種資産を守ることのほうが大切です。