スマホのセキュリティ究極ガイド - iPhone & Android向け

デスクトップやノートパソコンを使う際、ウイルス対策プログラムをインストールしたり、定期的にシステムスキャンを実施するなどして、セキュリティ対策を心がけている人は多いです。しかし、スマホのセキュリティに関しては、どうしていますか？同じレベルの対策が取られていないのではないでしょうか。これまで以上にスマホに依存するようになった今、モバイルセキュリティは私たちのプライバシーを守るために不可欠なものとなっています。

このガイドでは、モバイルセキュリティのヒント、手順、ベストプラクティスについて詳しく説明します。スマホをハッカーから守るために、ぜひお読みください。

---

Part 1: スマホの安全性に関する重要な対策
Part 2: モバイルWi-Fiネットワークのセキュリティリスク
Part 3: モバイルアプリを保護し、データ盗難を防ぐ方法
Part 4: スマホの充電がもたらすリスク
Part 5: SIMカードとSMSメッセージに隠されたリスク
Part 6: デバイスロックが不可欠な理由

---

Part 1: スマホの安全性に関する重要な対策

今日のiPhone、iPad、Android端末は非常にパワフルで先進的であり、1台あればミニパソコンがすぐに使えるようなものです。接続性、生産性、ソーシャルネットワーキングが向上した一方で、ハッカーやその他のセキュリティの脆弱性の影響を受けやすい豊富なデータが保存されるようになりました。

スマホやタブレット端末は、常に安全でないWi-Fiネットワークにさらされ遠くのアンテナに接続されています。また、物理的に盗まれる可能性もあります。そのため、セキュリティのベストプラクティスを遵守することが非常に重要です。下記におすすめの対策を紹介します。

画面ロックを有効にする

プライベートな会話、連絡先、クレジットカード情報、メールがモバイルデバイスに保存されていることを考えると、可能な限り侵入できないようにするのが得策です。

第一のセキュリティ層は、一般的に画面ロックです。画面ロックは、セキュリティ対策として有効であるためには、ロック解除のためのパスコードまたはパターンが必要です。また、一定時間操作されないと自動的にロックがかかる必要があります。ほとんどのスマホの初期設定は30秒ですが、好みに応じてカスタマイズできます。

画面ロックが作動するまでの時間をできるだけ短くしておくことをおすすめします。これにより、例えば机から離れたときにスマホにアクセスされてしまう可能性を最小限に抑えることができます。

スマホを離れた場所に置いたり、不審者が近づいてきたときは、必ず手動でロックしましょう。

また、指紋スキャナーや顔認証機能を搭載している端末も多くあります。しかし、セキュリティオプションとしての生体認証には注意が必要です。パスコードよりは便利ですが、特別な機器を使えばロックを突破することができます。また、指紋情報が改ざんされると、自分で変更できなくなります。

データを暗号化する

公共のWi-Fiネットワークは暗号化されておらず、営利目的で個人情報を収集する可能性があります。ハイパーリンクではなくブックマークを使用してウェブサイトに移動し、接続がTLSで保護されていることを確認し（ブラウザウィンドウにロック🔓アイコンが表示されます）、TorまたはVPNを使用しましょう。

自分のデータにアクセスできるアプリに注意する

信頼できるアプリを使用し、定期的にアクセス許可を見直して、知られても問題のないデータにしかアクセスできないようにしましょう。

基本的なルールとして、アプリはGoogle Play、F-Droid、iOS App Storeなど信頼できるソースからのみダウンロードしてください。Android携帯は、SDKキットを通じてサードパーティ製アプリをロードすることができますが、このステップを踏む際には十分な注意が必要です。このようなサードパーティ製アプリは、Googleの審査を受けていません。アプリケーションファイルが信頼できるソースからのもので、改ざんされていないことを常に確認するようにしてください。

同時に、ダウンロードする各アプリのアクセス許可を注意深く調べるようにしましょう。例えば、ウイルス対策アプリはあなたの写真やマイクにアクセスする必要はありません。過去にアプリの許可を見落としたと思われる場合は、必ずアプリの設定に戻り注意深く確認してください。

時々アプリの整理をするのもいいでしょう。スマホの中は、ほとんど使わないアプリをダウンロードして、乱雑になりがちです。しばらく開いていないアプリは削除することをおすすめします。

マルウェアから保護する

マルウェアまたは個人的または政治的な利益のために損害を与えたりデータを盗もうとする悪意のあるソフトウェアは、常にインターネット上に溢れています。モバイルマルウェアは、人気のある信頼できるアプリのクローンを装っていることがよくあります。そして、アカウントの認証情報を盗んだり、許可なく他のアプリをインストールしたり、その他の望ましくないアクションを実行したりします。

毎日23万もの新種のマルウェアが出現しているため、すべての種類のマルウェアの包括的なリストを作成することは不可能です。

どのアプリをインストールするか、誰があなたのスマホにアクセスできるかに注意してください。スマホの乗っ取りが疑われる場合は工場出荷時リセットを実行し、オペレーティングシステムを元の状態に戻しましょう。

最低限の心得として、App StoreやPlayストアの評価が低いアプリは要注意です。新しくアップロードされたもので、定評のあるアプリと同じセキュリティ機能を備えていないからかも知れません。探しているアプリの開発者の公式サイトを訪問し、そこからリンクをたどることもできます。

Bluetoothをオンにしたままにしない

Bluetoothは、スマホやタブレットにとってしばしば見過ごされがちな攻撃手段です。スマホへのリモート接続を可能にするものであり、潜在的なセキュリティ上の欠陥です。例えば、ショッピングモールやオフィス内を歩き回っているあなたを他人が追跡することも可能です。Bluetoothは必要なときだけオンにしましょう。バッテリーの節約にもなります！

デバイスをroot化しない

スマホをroot化またはジェイルブレイクすると、デフォルトのセキュリティ機能が削除されるため、アプリがSIMカードの詳細や接続アンテナなどのプライベートデータにアクセスできるようになる可能性があります。

公式ストア以外のアプリにアクセスしたり、開発者のようにデバイスを操作するためにスマホをroot化するのは魅力的ですが、一般ユーザーにはおすすめできません。何らかの理由でデバイスをroot化する必要がある場合は、個人データをデバイスに残さないようにしましょう。

ウイルス対策ソフトウェアを使用する

最新のデバイスには、ウイルス対策ソフトウェアをインストールすべきです。スマホを常にアップデートしておくことも、バグを修正し、ゼロデイ攻撃から守り、個人情報を保護するための重要なセキュリティのベストプラクティスです。アプリのパッチが常に適用され、システムが通常通りに動作するように、デバイスの自動アップデートを設定するべきだと私たちは考えています。

自動バックアップに注意する

ほとんどの携帯電話には、メーカーまたは外部プロバイダが提供するバックアップ機能が付属しています。これは便利ですが、プライバシーやセキュリティの問題を引き起こす可能性もあります。

バックアップするものは厳選しましょう。個人的なメッセージ、アプリのデータ、ソーシャルメディアへの投稿など一部のデータはすでにクラウド上に存在している可能性があり、別途バックアップする必要はありません。暗号化されたメッセージをバックアップする場合、自動バックアップでは暗号化されないことに注意してください。これにより、あなたやあなたの連絡先の安全性が損なわれる可能性があります。

パソコンやiTunesのようなソフトウェアを使ったオフラインバックアップは、暗号化が可能です。必ず適切な暗号化パスコードを選択してください。バックアップが適切に暗号化されていることを確認してからクラウドストレージにアップロードしましょう。

ことわざにあるように、予防は治療に勝ります。ちょっとした対策をすることで、データ紛失や盗用という一番避けたい現実的な脅威から身を守ることができます。

Part 2: モバイルWi-Fiネットワークのセキュリティリスク

公共のWi-Fiはとても便利ですが、安全とは言い難くプライベートが守られることはほとんどありません。以下に公共Wi-Fiの代表的なリスクをご紹介します。誰とどのような情報を共有するのかを理解しておくことで、Wi-Fiをより効率的に利用し、サイバー攻撃のリスクを減らし、自分の好みに合わせてデバイスを設定することができます。

MACアドレスが、デバイスを識別するために使用される

Wi-Fiホットスポットに接続するたびに、お使いのデバイスはMAC（メディア・アクセス・コントロール）アドレスを提供します。このようなアドレスは、各ネットワークインターフェースに含まれているため、別々のネットワークであっても、あなたがリピーターであることを特定することが可能です。

iOS 8から、アップルデバイスは偽のランダム化されたMACアドレスをブロードキャストするようになりました。これにより、ユーザーの追跡がより困難になりました。しかし、それでもあなたのデバイスがiOSデバイスであることに変わりはなく、この方法は新しいネットワークを探すときにのみ適用されます。既知のネットワークに接続すると、本当のMACアドレスがブロードキャストされます。

オペレーティングシステムのTAILSは、デフォルトでMACアドレスをランダム化します。このようなソフトウェアにより、追跡されることなく複数のWi-Fiホットスポットに繰り返し接続することが可能になります。

MACアドレスは、自宅やオフィスのWi-Fiのセキュリティを高めるためにも利用できます。まず、ネットワーク上で許可しているデバイスをMACアドレスで特定し、それらのデバイスをホワイトリスト化します。特に、すべての知らないデバイスをネットワークからブロックしましょう。

プライバシーを確保するもうひとつの方法は、設定メニューを開いてデバイスの名前を変更することです。それは、デバイスが接続しているWi-Fiアクセスポイントにその名前を送信することはあるからです。デフォルトでは、この名前は電話の説明か、電話を設定したときに入力した名前、またはその2つの組み合わせ、例えば「パトリシアのiPhone」のようになっていることが多くあります。

Wi-Fiルーターは、通過するデータを読み取ることができる

Wi-Fiネットワークに接続した後、ルーターはそれを介して送信されるすべてのデータを読むことができることを覚えておきましょう。これには常にすべてのトラフィックの宛先IPが含まれるため、システム管理者は各デバイスがどのようなサービスを使用しているか、ネットワーク上のすべての人がどのサイトを訪問しているかを包括的に把握することができます。

暗号化されていない接続（アドレスバーにロックアイコンが表示されていない接続）では、ネットワークオペレーターはあなたがサイト上で何を閲覧しているか、またあなたがサイトに送信したすべての情報（写真のアップロードやフォームへの入力など）を見ることができます。

これには、メール、チャット、パスワード、その他の個人情報が含まれます。常にトランスポート層セキュリティ (TLS) を確認し、暗号化されていない接続では機密情報を送信しないことが重要です。

VPNやTorを使えば、ネットワークプロバイダはあなたのトラフィックの内容（訪問したサイトや使用したアプリなど）を見ることはできなくなりますが、消費したデータ量を推測することはできます。

VPNは、サードパーティのアプリを含め、デバイスを行き来するすべてのトラフィックを暗号化するため、より堅牢です。しかし、Torはブラウザのトラフィックだけを暗号化します。

暗号化されていないWi-Fiネットワークは、あなたのトラフィックを誰にでも公開する

Wi-Fiネットワークは、いくつかのプロトコルを利用してデバイス間で流れるトラフィックを暗号化しています。残念ながら、そのすべてが安全というわけではなく、暗号化をまったく使用していないものも少なくありません。

例えば、パスワードなしでWi-Fiアクセスポイントに接続することがあるかも知れません。時間の節約にはなるかも知れませんが、このようなアクセスポイントは全く暗号化されていないという欠点があります。

これは、あなたのオンライン活動が、悪意のある存在によって中間者攻撃やその他の方法で傍受される可能性があることを意味します。セキュリティ保護のないネットワークは、ルーターだけではなく近くのデバイスからの攻撃に対しても脆弱であり、公共のWi-Fi環境で直面する可能性のある最も高いセキュリティリスクです。ルーターに接続した後にログイン画面が表示されるWi-Fiネットワークも同様に危険です。

このリスクは、公園や空港、カフェなどの公共の無料Wi-Fiアクセスポイントに特に当てはまります。自宅でも公共の場所でも、自分のWi-Fiを設定するときは必ずパスワードを設定し、安全なプロトコル（できればWPA2）を選択することを忘れないでください。

暗号化されていないWi-Fiネットワークでは、これらの脅威からあなたを保護するVPNを使うことが特に重要です。

Wi-Fiネットワークは建物内の個人の位置を推測できる

システム管理者は、あなたのデバイスの信号強度と、ネットワーク上の他のデバイスに関連する複数のアクセスポイントを使用して、あなたがどこにいる可能性があるかを正確に推定することができます。

このデータは、建物内や公共スペースでのあなたの行動を追跡するために使用できるだけでなく、店舗での購買記録やCCTVフィードなど、管理者があなたの接続から得られる他のデータと照合することもでき、あなたの行動に関する正確なプロフィールを作成するために使用できます。

訓練された人やシステムは、適切な情報にアクセスできれば、IPとクレジットカード番号、さらには顔を結びつけることができてしまいます。これを防御するのは、特にネットワーク上で多くの時間を過ごしている場合には難しいでしょう。

理想的には、常に人ごみに溶け込むようにすることをおすすめします。カフェでは一番最後に席を立たないようにし、みんなの真ん中にあるテーブルに座るようにしましょう。監視カメラによる監視下にない場所を探すのが得策ですが、それは簡単なことではありません。

ネットワークへの自動接続は危険

Wi-Fiが自動接続に設定されている場合、それはスマホに常に電波を監視させ、以前に接続したことのあるネットワークを見つけ、新たに接続するよう強制していることになります。しかし、デバイスがこれらのネットワークを識別するために使用するのはネットワークの名前であり、簡単になりすますことができます。

「スターバックス」という名前のWi-Fiネットワークが、実際にスターバックスによって運営されているという保証はありません。実際、誰でも簡単にこの名前で悪意のあるネットワークを設定することができ、通常スターバックスのWi-Fiに接続するすべてのデバイスが、範囲内に入ると自動的に接続されるようにすることができます。

ネットワークに接続すると、デバイスはルーターにその名前を公開し、いくつかのサービスが自動的に起動することがあります。暗号化されていない場合、この情報はWi-Fiネットワークの運営者や周囲の人に読み取られる可能性があります。

Wi-Fiの設定はオフにしておき、必要なときだけ接続することをおすすめします。

Part 3: モバイルアプリを保護し、データ盗難を防ぐ方法

デバイスに関して言えば、そこに保存されている情報はインストールされているアプリと同程度の安全性を確保します。

上記で説明したように、アプリは公式ソースからのみダウンロードするようにしましょう。理想的なのは、F-Droid、Google Play、Apple App Store、そして自分で慎重に確認したその他のソースです。

あるいは、上級ユーザーはコードがオープンソースであったり、開発元から直接インストールパッケージを見つけて検証できるのであれば、自分でアプリケーションを作成することもできるでしょう。

アプリの使用許可

iOSもAndroidも、アプリに許可する権限を選択できます。そのため、GPS、カメラ、マイク、写真リールなどへのアクセスを制限することが可能です。

これをうまく活用しましょう！アプリケーションから要求される許可には懐疑的になり、絶対に必要だと思うものだけを許可するようにしましょう。例えば、メッセージアプリが常にあなたの位置情報を知る必要はないし、決済アプリが常にあなたの写真にアクセスする必要はありません。懐中電灯アプリは、何のデータへのアクセスも必要ないはずです。

ほとんどの新興企業やそのアプリは信じられないほどデータを欲しがっており、ユーザーデータを売ることが無料アプリやサービスにとって唯一、あるいは最も有望なマネタイズ戦略である可能性があることを心に留めておいてください。そのため、ダウンロードするアプリには注意が必要です。

時折、デバイスの設定に目を通し、インストールしたアプリとその権限を確認しましょう。もしその中のいくつかが過剰だと感じたらこれらの許可を取り消すか、アプリを完全に削除しましょう。

アプリがあなたをスパイしているかもしれないサイン

主なレッドフラッグは、バッテリーの過剰な消耗、ネットワークの混雑、メモリの使用量などです。これらは必ずしもスパイされていることを意味するものではありませんが、スパイアプリの副作用であることは確かです。

直感とスマホの機能の両方を使用して、これらのサインに気を配りましょう。バッテリーやネットワーク、メモリ使用量の最適化を約束する信頼できるアプリはほとんどなく、データ盗難リスクを高めます。

アプリはデータを暗号化しますか？

高度な分析ツールにアクセスすることなく、アプリがバックグラウンドであなたのデータをどのように扱っているかを判断するのは簡単ではありません。どのようなアプリでも、特にあまり評判のないアプリを使う場合には、入力する情報、特に社会保障番号や支払関係の詳細などの個人情報には注意してください。

必要な予防措置をすべて講じたとしても、アプリ開発者がデータを適切にクラウドに保存しないリスクは常にあります。プロバイダの利用規約を注意深く読み、プライバシーの保護を明確に約束しているサービスやアプリを使用しましょう。理想的にはパスワードマネージャーを使って良いパスワードを選びましょう（ExpressVPNのランダムパスワード生成機能もご覧ください）。

パスワードがハッシュ化された形でサーバーに保存されていることを確認することは非常に重要です。この基本的な手順を踏んでいないアプリの特徴は、パスワードの長さが制限されていたり、特殊文字の使用が制限されていたりする場合です。

もうひとつ注目すべきなのは、転送中のデータがHTTPSによって暗号化されているかどうかです。しかし、ブラウザとは異なり、接続が暗号化されているかを手動で確認したり証明書が適切にチェックされているかを確認したりすることはできないかも知れません。その場合には、アプリ開発者の約束、プラットフォームのポリシー（例えばアップルのApp Storeは、新しいアプリにデフォルトでHTTPSを使用するよう要求している）、開発者の能力に頼らざるを得ません。

アプリケーションの信頼性を判断するには、そのウェブサイトとApp Storeでの表示方法を確認しましょう。アプリは定期的に更新されているでしょうか？変更ログはきちんと文書化されているでしょうか？

2要素認証

パスワードに加えて、2要素認証 (2FA) を使ってデバイスを保護することもできます。これは、短時間のみ有効な第二のパスワードです。スマホや外部デバイスで生成したり、テキストメッセージやメールで送信することもできます。

スマホや外部デバイスでコードを生成するのが最も安全ですが、これらのデバイスを紛失した場合は頭痛の種となります。

コードがテキストメッセージで送信される場合、周りの誰や他のお持ちのアプリにこの情報が傍受される可能性があることに注意する必要があります。そのため、2要素認証を使用する最善の方法は、FIDO U2F標準を使用するハードウェアデバイスを使用することです。そのようなデバイスを持っていない場合は、Google AuthenticatorやDuoのようなアプリを使用することができます。

Part 4: スマホの充電がもたらすリスク

スマホは、バッテリーの充電とデータのダウンロードに同じ物理ポートを使用します。これは、より少ないケーブルでより多くのタスクをこなすことができるため便利ですが、セキュリティリスクを若干高めることになります。

例えば、ショッピングモールや駅、バス、飛行機などのコンセントに私たちは何も考えずにUSBケーブルを差し込みます。しかし、信頼できないコンピュータにスマホを接続してしまった場合、そのコンピュータが同意なしにデバイスにアクセスしようとする可能性があります。

例えば飛行機では、機内でデバイスを充電することができますが、機内のコンピュータはしばしばあなたのデバイスにアクセスしようとします。座席のスクリーンでメディアを再生したい場合は便利ですが、このようなコンピュータは本当に信用できるのでしょうか？

自分の身を守るには、充電器を持ち歩き、USBコンセントではなく普通のコンセントに差し込みましょう。また、電気だけを通しデータを送らないケーブルもあります。「USBコンドーム」を利用すれば、充電サイクル中にデータ通信が行われないようにできます。

SIMカードとSMSメッセージに隠されたリスク

加入者IDモジュール (SIM) カードは、スマホにいくつかの未知のセキュリティ脆弱性をもたらします。

さらに悲惨なのは、SIMカードによって世界中で簡単に追跡されてしまうことです。それがどのようにして起こるのか、詳しく見てみましょう。

スマホの追跡

有効なSIMカードが挿入されている限り、携帯電話は常に基地局への接続を試みます。一度接続されると、メッセージや電話を受信した場合に備えて安定した接続を確保するために、近くの基地局に信号を送信し続けます。携帯電話からSIMカードを取り外しても、匿名性は保証されません。ほとんどの携帯電話はSIMカードがなくても接続を維持し、例えば緊急電話をかけることができます。機内モードをオンにすることは有効ですが、バッテリーを物理的に取り外すことでしかデバイスを通じた追跡を確実に逃れることはできません。

携帯電話会社は、あなたがどの基地局に接続しているかを追跡し、信号の強さと比較することで、かなりの精度であなたの位置を三角測量することができます。必要なのは、携帯電話の電源が入っていて、SIMカードが挿入されていることだけです。また、速度や位置などの指標から、あなたが移動中の乗り物に乗っているのか、高層ビルの上空にいるのかを推測することもできます。

収集された情報が通信会社によって非公開にされているとは思わないでおきましょう。多くのプロバイダは侵入者に対するシステムの安全確保を怠っており、地理的位置情報はほとんど公知のものとなっています。実際、プロバイダの中には、ユーザーの位置情報を広告主に売るところまで行っているところもあります。

さらに、彼らはしばしばこの情報を法執行機関と共有します。しかし、より正確に追跡するには法執行機関はスティングレイのような装置を必要とします。

スティングレイとは？

スティングレイは、IMSIキャッチャー（国際移動体加入者識別番号）の代表的な種類です。これらのデバイスは靴箱ほどの大きさで、車や飛行機などの乗り物に取り付けたり、バックパックに入れて持ち運ぶこともできます。

スティングレイは、GSMネットワークに接続されたすべてのデバイスに対応します。スティングレイは、3Gや4Gネットワークではそれほど有効ではありませんが、対象者の携帯電話番号と位置情報を常に取得することができます。対象者を騙して安全性の低い2G回線に接続させ、電話やSMSを傍受することもできるかも知れません。

各携帯電話は携帯電話会社の基地局に対して自分自身を認証しなければなりませんが、その逆はそうではありません。この一般的に知られたGSMネットワークの脆弱性の結果、資源（スティングレイは1枚約16,000～125,000米ドル）さえあれば誰でも基地局を模倣することができ、その結果、近くにあるすべての携帯電話は知らないうちに基地局に接続させられてしまいます。

これにより、スティングレイのオペレーターは、近くにある携帯電話のすべての識別子のリストを得ることができるようになります。場合によっては、中間者攻撃と呼ばれる方法でターゲットの通話やテキストメッセージをすべて盗聴することも可能です。

スパイ機関や法執行機関が同様の機能をモバイルデータの読み取りや傍受に簡単に適用できるかどうかは分かりませんが、可能性の範囲内であることは確かです。暗号をその場で解読するのは非常に難しいですが、多くのスパイ機関がすでに鍵を盗んでいるか、国家安全保障書簡を通じて要求していると考えるのは無理な話ではありません。

スティングレイは密かに使用され、その使用は秘密裏に行われるため、裁判でもほとんど明かされることはありません。これらの装置は集団監視の道具であるため、捜査において裁判所が許可することはほとんどありません。しかし、その使用が広まるにつれ、一般市民はスティングレイとその仕組みについてますます認識するようになっています。

法執行機関、犯罪者、スパイが自由に使える複数のデバイスを持っている場合、それらを同時に使ってターゲットのスマホの位置を計算することができます。同様の結果は、小型飛行機のようにデバイスを移動させても達成可能です。

Part 5: SIMカードとSMSメッセージに隠されたリスク

SIMカードによる位置情報の追跡を逃れるには、フライトモードは有効です。しかし、追跡を完全に回避する唯一の方法はバッテリーを取り外すことです。上級者向けには、スティングレイを検知し、スマホをシャットダウンする特別なソフトウェアをインストールする方法*もあります。

*このソフトウェアは実験的なもので、十分にテストされているわけではありません。公共Wi-Fi、VPN、ビットコインで支払うVoIPサービスを利用するのが通話発信の良い代替手段でしょう。VoIPを使った着信通話は契約する必要があるため、プライベート性は低くなりますが、居場所を隠すことが主な目的であれば有効な手段となります。このような通話は決して暗号化されないため、簡単に盗聴される可能性がある点にも注意が必要です。ちなみに、暗号化された通話はSignalやFaceTimeのようなソフトウェアで可能ですが、機能させるには双方が同じソフトウェアを使う必要があります。

もうひとつの方法は、SIMカードを頻繁に入れ替えることです。これによって追跡が不可能になるわけではありませんが、情報収集者が集める情報量を減らすことができます。ただし、SIMカードの切り替えは早くし過ぎないようにすることが重要です。2つのSIMが同時にオンになることがないことを観察するだけで、両者を結びつけることができる可能性があるからです。

この戦略のもうひとつの関門は、SIMカードをそれぞれ別の店で別々に購入し、現金で支払う必要があることです。同じ携帯電話に挿入されている場合、携帯電話会社やスパイ機関がそれらを結びつけることを可能にするシリアル番号や識別子が他にも存在する可能性があります。

SIMカードによる位置情報の追跡を逃れる可能性を最大限に高めるには、SIMカードを別々のプロバイダから現金で購入し、未登録または別々の偽名で登録し、別々のデバイスで使用しましょう。また、場所を移動する際は、必ず両方の機器の電源を切りましょう。

SIMカードのハッキング

残念ながら、最大のセキュリティ上の懸念は、位置情報トラッカーではなくSIMカードそのものです。基本的にSIMカードは、箱から取り出して実行し、外国のコードに応答することができ、リモートアクセス可能な小さなコンピュータです。

この問題のある構造を悪用したハッキング手法は2013年にITアナリストによって指摘され、7億5000万台の携帯電話が、攻撃者が容易に解読できる旧式の暗号を使用していることがわかりました。

この鍵があれば、攻撃者はSIMモジュールに新しいソフトウェアをダウンロードしたり、連絡帳の連絡先にテキストメッセージを送信したり、ボイスメールのパスワードを変更したりできます。2013年以前に発行されたSIMカードをお持ちの場合、約10％の確率でまだこの問題の影響を受けていると考えられます。

しかし、これらの暗号鍵は、特に資金力のある国家権力によって、他の方法でも侵害される可能性があります。

アメリカの監視システムを避難している元CIAの職員エドワード・スノーデン氏の暴露サイト、『ザ・インターセプト』では、アメリカとイギリスの諜報機関がどのように数十億枚のオランダ製SIMカードの暗号鍵を盗んだかを明らかにしました。これらの鍵によって、諜報機関はより高度で検出不可能なバージョンのスティングレイを使った通信傍受が可能になったと考えられます。

SMSメッセージと連絡先

フルディスク暗号化が設定されていても、SIMカード自体にテキストメッセージや連絡先が保存され、情報が暗号化されずに、それを手に入れられる人なら誰でもアクセスできる状態になっている可能性があります。

SIMクローン/SIMカードスワップ

SIMカードのクローンを作るのは難しいですが、不可能ではありません。攻撃者があなたのSIMカードに物理的にアクセスできれば、そこから秘密鍵を抜き取ることができる可能性があります。また、SIMカードと携帯電話の間にあるリーダーを使えば、例えば中間者攻撃なども実行できるかも知れません。

SIMカードのクローンを作る最も簡単な方法は、ユーザーになりすましてサービスプロバイダに直接連絡し、コピーを求めることでしょう。サービスプロバイダによっては、本人確認をほとんどせずにその場あるいは郵送で簡単に二次SIMや交換SIMを提供してくれるところもあります。

これは、私たちが自分のモバイルサービスプロバイダに大きな信頼を置いていることを意味します。誰かがあなたのサービスプロバイダになりすまし、セカンダリーSIMにアクセスすることができれば、彼らはあなた宛てのテキストメッセージや電話を受信し、あなたの名前で（そしてあなたの請求書で）電話やテキストメッセージをすることができます。

これは、特に2要素認証がテキストメッセージでそのようなコードを配信する場合、重要なセキュリティ上の影響を及ぼす可能性があります。

この手法はSIMスワップ詐欺とも呼ばれ、2019年8月にツイッターのジャック・ドーシーCEOの個人アカウントがハッキングされたことで話題になりました。

SIMスワップ詐欺の影響は、特にそれを止めるためにできることがほとんどないことを考えると深刻です。それを発見する方法があるとすれば、あなたがたまたますべての携帯電話サービスを失い、デバイスを再起動しても頑なに元に戻らなかった場合です。これは何かが間違っていることを示しています。

SIMジャッキング

2019年9月に発見された新たなSIMカードのセキュリティ脆弱性は、スパイウェアコードを組み込んだ悪意のあるテキストメッセージの結果としてもたらされました。ユーザーがテキストをクリックするとコードが起動し、ハッカーが通話、メッセージ、位置情報をスパイできるようになるものです。

この脆弱性には、SIMアプリケーションツールキットの一部であるS@Tブラウザと呼ばれるソフトウェアが使われていました。このブラウザは先進国ではあまり使われていませんが、中東、北アフリカ、東ヨーロッパの国々ではまだ現役です。

この攻撃の標的は携帯電話事業者であり、政府機関の命令で動いていた民間企業によるものとされています。

Part 6: デバイスロックが不可欠な理由

ロック画面に十分安全なパスワードを設定することはセキュリティの第一層であり、非常に真剣に取り組まなければならないことです。これにより、あなたの同意なしに他人があなたのスマホにアクセスすることが難しくなります。

一般的な認識とは異なり、指紋を使ってデバイスをロックしてもセキュリティはほとんど向上しません。指紋は親指の写真から簡単にクローン作成でき、ロック解除に使用できます。また、ほとんどの司法管轄区では、パスワードの開示を法的に強制することはできませんが、欧米の自由民主主義国家では、本人の同意なしにスマホのロックを解除するために指紋を採取することは完全に合法です。

ドライブを暗号化する

アップルはiOS 8以降、デフォルトでハードディスクを暗号化するようになりました。これにより、勝手な検索から所有者を保護したり、デバイスを紛失した後に個人データが悪用されるのを防ぐことができるようになりました。

Androidは、ユーザーがドライブを暗号化する機能も提供していますが、デフォルトでは有効になっていないため有効化が必要です。

デバイスの暗号化オプションは設定にあります。

特に簡単というわけではありませんが、ドライブを暗号化しなければ本人の同意なしにデバイスから個人情報を抜き取ることは可能です。テック企業もまた、法執行機関に協力してデバイスのロックを解除していたことが発覚しています。

良いパスワードを選ぶ

AppleもGoogleも、間違ったパスワードの入力回数を制限したり、何度か失敗するとドライブを消去することで暗号化されたデータをハッカーから保護する対策を講じていますが、最善の保護策は強力なパスワードであることに変わりはありません。

パスワードは最低12文字以上にするか、ランダムパスワード生成機能をご利用ください。また、大文字と小文字だけでなく、数字も混ぜるようにしましょう。また、Dicewareを使って4～5個の単語からなるパスワードを生成することも可能です。