最近、相次いでスマートフォンにまつわるパスコードの脆弱性が見つかっています。これってどれくらいヤバいのでしょうか? ロック画面は安全なのでしょうか?
パスコードが不安(Perturbed About Passcodes)より
パスコードが不安さん、こんにちは。
ご心配は当然です。幸いにも、今回見つかった脆弱性は、デバイスの全機能へのアクセスを許すものではありません。しかし、他にもセキュリティの脅威は存在します。今回は、スマートフォンの安全を守るために必要不可欠な知識を紹介しましょう。
今回見つかった脆弱性とは
今回、iOS6で見つかった脆弱性は、パスコードを回避して電話アプリにアクセスできてしまうというもの。ホーム画面へのアクセスは許しませんが、電話をかけたり、連絡先を閲覧・編集したり、写真の登録操作を通じてカメラロールにアクセスできてしまいます。できることが限定的とはいえ、十分に危険です。
Samsung Galaxyで見つかった脆弱性はこれとは少し違い、ほんの一瞬だけ、ホーム画面が見えてしまうというもの。あまり危険はなさそうに見えますが、一秒足らずとはいえ、アプリを起動するには十分です。連続で攻撃すれば、アプリをダウンロードして、スマホのロックを完全に解除することも可能です(下の動画参照)。
どちらのメーカーもすでに問題を認識しており、Appleは対策済みのiOS 6.1.3を緊急リリース、Samsungもすぐに対応予定とのことです。
パスコードをかけていても安全ではない
今回の騒動によって、スマートフォンのセキュリティがにわかに話題になった感がありますが、そもそもパスコードは絶対安全なものではありません。一般のパスワードと同じく、破られる危険があります。セキュリティをパスコードだけに頼るべきではありません。
セキュリティの専門家Brandon Gregg氏に、パスコードの安全性について聞いてみました。
パスコードは「暗号化」ではありません。あまりに多くの人が、たった4桁のパスコードがAndroidやiOSの個人情報を守ってくれると信じています。Androidなら、設定画面からスマートフォンのデータやSDカードを暗号化しなくてはなりません。
第一に、10000通りしかないパスコードは、総当たり攻撃でも簡単に破れます。「XRY」などのツールを使えば1秒もかかりません。第二に、XRYやMPEをはじめとした警察が使うような解析ツールで直接アクセスされれば、パスコードなど無意味です。一旦でもスマートフォンに侵入を許せば、データをすべて盗まれてしまいます。現在での最善策はフル暗号化です。XRYなどのツールを使っても、データが暗号化してあれば簡単には盗めません。
データのセキュリティには2段階あります。1つはロック画面のパスコードです。しかし、パスコードはどんなに工夫しても破られる可能性があります。もちろん、アルファベットと数字を組み合わせた強いパスワードを使えば、その時間を引き延ばせるでしょう。しかし、攻撃者が解析ツールを使えば、いずれは破られ、データを盗まれてしまいます。その場合、フルディスク暗号化(データすべての暗号化)が唯一の防衛策となります。
Honeycomb(Android 3.0)以降のAndroidなら、少し制限はありますが、フルディスク暗号化が可能です。iOSにはデータ保護APIがあり、アプリごとにデータを暗号化できます。ただし、暗号化に対応しないアプリもあり、iCouldを使うアプリでは暗号化が使えません。いまひとつですね。
ただし、AndroidもiOSも、暗号化のキーはパスコードと同じものを使います。暗号化を効果的にするには強いパスコードを設定すること。スマートフォンを使うたびに複雑で長いパスワードを打ち込むのは面倒? ポイントは、泥棒にはわかりずらく、自分にはわかりやすいパスワードを選ぶことです。
それでもやっぱりパスコードは使うべき?
もちろんです。わざわざデータを盗みやすくする必要はありません。泥棒がロック画面の破り方を知らないこともあります。ですので、パスコードは有効にして、なるべく破りづらいものを設定してください。
もっとも、ロック画面だけではデータの保護にならないし、暗号化したって完璧ではありません。盗難対策に、Appleの「Find My iPhone」サービスや、『Prey』などのアプリを使うことをオススメします。盗まれたスマートフォンを追跡し、遠隔操作でデータを消去、無効化できます。めったに盗まれることはないですが、念には念を入れたほうがいいでしょう。
ライフハッカーより愛を込めて
lifehacker
http://news.goo.ne.jp/article/lifehacker/life/living/lifehacker_30945.html
