Pages

Monday, June 29, 2020

「これだけで大丈夫、簡単セキュリティ」が危険な理由 - ITmedia

 つい先日SNSで、セキュリティに関する話題が何やらざわついているのを見つけました。つぶやいているのは、普段からサイバーセキュリティに高い興味を持つユーザーとは違うようです。そこで飛び交っていたのは「SIM」「ピン」「ロック」の文字。どうやらテレビ番組で「スマートフォンの盗難を防ぐために、SIMにPINを設定する」という対策が紹介されたようです。

 そして、番組を見た人が紹介されるままPINコードの設定を試み、SIMをロックされてしまいました。IIJに所属するエンジニアがすぐに注意喚起を投稿していましたが、ロックされた後では手遅れです。私自身は番組を見ていなかったのですが、正直なところ「ああ、これは難しい問題だな」と思いました。

そもそも「SIMのPIN」とは

 まず、今回問題となったPINに関してまとめておきましょう。SIMのPINとは「携帯電話を起動するときに入力を求め、正しいコードを入力しない限り、利用できなくする」ものです。最近のスマートフォン、特に「iPhone」はアクティベーションロックの仕組みなどが優秀です。犯罪者がスマートフォン本体を盗んでもロックを解除しなくては意図通りには売却できず、安易には現金化できないようになっています。

 しかし、本体に刺さっているSIMカードは簡単に抜けるため、別のスマートフォンに差せば不正利用が可能です。つまり高額な有料通話サービスや海外の特定エリアへの通話によって、盗んだSIMをお金に換える犯罪ができてしまうのです。このような犯罪に対しては、SIMそのものにPINコードを設定し、これが分からなければ通信や通話を不可能とする対策が有効です。それが、SIMにPIN設定ができる理由です。

 問題は、その仕組みがとても厳格に設定されていること。前述の通り不正利用を防ぐための仕組みですので、PINコードの入力を3回間違えるとSIMがロックされ、スマートフォンが使用できなくなります。ロックを解除するために必要なのは、皆さんが契約している携帯電話事業者の書類に書かれた「PUKコード」。詳細は各携帯電話事業者のFAQに明記されています。

PIN1・2コード/PINロック解除コード(PUK) | お客様サポート | NTTドコモ

SIMカードロックのPIN(PIN1コード)を忘れてしまった。PINロック解除コード(PUKコード)は何を入力したらいいですか? | よくあるご質問 | サポート | au

PINロック解除コード(PUKコード)の確認方法を教えてください。 | よくあるご質問(FAQ) | サポート | ソフトバンク

 さらに重要なのは、PINコードは携帯電話事業者が初期設定のものを定義しており、そもそも利用者はPINコードを設定していない点にあります。例えば、ユーザーが普段から使っている暗証番号を(何となく)PINコードだと思いこんで入力すると、SIMがロックされて携帯電話が利用できなくなるわけです。本来SIMのPINコード設定は、スキルのある人だけがするべきものだといえるでしょう。

「とるべき対策を端的に、結論だけ伝える」ことの危険性

 私は「SIMにPINを設定するべし」という考えを否定するつもりはありません。この話を紹介した人を責めるのも間違っていると思います。テレビ番組においては、どんなに工夫しても全ての視聴者に完全に理解してもらうのは困難だからです。

 PINの機能そのものはSIMの基本機能として用意されており、この仕組みが役に立つシーンは間違いなくあります。例えば海外には、日本よりもスマートフォンの盗難リスクの高い場所があるでしょう。海外で盗難にあった場合は日本に連絡し、回線を止めてもらう必要があります。対策が終わるまでの数時間で被害に遭う可能性があり、そのリスクを下げる方法として有効なのは、おそらくSIMのPIN設定くらいです。

 しかし、スマートフォンユーザーの全てが、そこまで大きなリスクを想定するべきなのでしょうか。端末を誰かに狙われている可能性がある人や、企業組織が所有する端末であればPIN設定は必要かもしれません。特に心当たりがなければ、対策としては過剰かもしれません。

 今回の問題は、セキュリティを確保するための複数の手段の中から、わざわざ副作用の大きい方法をリスクの説明なく紹介してしまった点にあるでしょう。前提や仕組みをすっ飛ばしてしまえば、なぜそのような方法が必要なのかも考えられません。セキュリティ対策において「端的に、結論だけ伝える」のは危険なのです。

敵は「〜〜だから対策は大丈夫」という思い込み

 似たような話は、最近やっと当たり前になりつつある「2段階認証」においてもあると思います。2段階認証は「2要素認証」の考え方が基にあります。2段階認証は「本人だけが知っていること」「本人だけが持っているもの」「本人だけが持つ特性」のうち2つを使って2回の本人認証をするものです。パスワード認証は「本人だけが知っていること」という1つの要素しか使っていないこと、そしてそのパスワードがさまざまなサービスで漏えいしてしまっているため、もはや脆弱な仕組みといえます。そのため、例えば「本人だけが持つスマートフォン」や「本人だけが持つ指紋」で認証するといった強化が重要になっています。

 ところが昨今、この2段階認証が破られるという話題を聞く機会が増えていませんか?

YouTuberを襲うサイバー攻撃が進行中、二段階認証も突破される新手口とは (1/2) - ITmedia NEWS

 実はこれは、人をだます要素を仕込んで2段階認証のスキを突くという犯罪です。上記の件ではユーザーをフィッシングメールでだまし、偽のWebサイトで2段階認証に使うコードを入力させていました。フィッシングを100% or 完全に防ぐのは困難です。さらに「2段階認証を設定しているから、自分は大丈夫」と思い込んでいれば、コードを入力しているのが悪意あるWebサイトだと気付くのは、さらに難しいでしょう。

「めんどくさくないセキュリティ」が生む誤解

 SIMのPINの件も、本来の目的と有効なシーンを理解できていれば「よく分からないけど怖いから、こうすれば安心だと言うから」という認識のみで設定しようとは思わないでしょう。また、2段階認証の基となる2要素認証の仕組みを理解していれば、自分が持っているもの、自分だけが持っている特性が奪われるリスクを認識できるかもしれません。

 セキュリティ対策においては、「新しい仕組みがすべてを解決し、リスクをゼロにする」という手段はありません。「パスワードの漏えいを完全に防ぐのは難しいから、自分だけが持つスマートフォンを認証のカギにする」という、「よりマシな方向へのシフト」でしかありません。もちろん2段階認証には、2段階認証のリスクがあるのです。

 こう解説してしまうと、セキュリティはやっぱり面倒くさいという印象を持つかもしれません。実際、面倒くさいことだらけです。しかし悪意ある犯罪者は、面倒くさがって対策を講じない人を狙ってきます。やっぱり私たちも、さまざまなセキュリティ対策の“本質”を学ばなくてはならないのです。

 そうなると、解説のための時間が限られるテレビ番組は、セキュリティの啓発にはそもそも相性が悪いのかもしれません。「いいから結論だけ教えてくれよ」という声もあるでしょう。それこそが積み上げてきたセキュリティ対策を無意味にしてしまうのです。現在ではありがたいことに、じっくり読める無料の教科書がたくさんあります。テレビで取り上げられたちょっと気になるセキュリティネタがあったら、これらの教科書を開いて、自分で確かめてみてはいかがでしょうか。それこそが、面倒くさいセキュリティを自分ごとにする、唯一の方法なのかもしれません。

著者紹介:宮田健(みやた・たけし)

『Q&Aで考えるセキュリティ入門「木曜日のフルット」と学ぼう!〈漫画キャラで学ぶ大人のビジネス教養シリーズ〉』

元@ITの編集者としてセキュリティ分野を担当。現在はフリーライターとして、ITやエンターテインメント情報を追いかけている。自分の生活を変える新しいデジタルガジェットを求め、趣味と仕事を公私混同しつつ日々試行錯誤中。

2019年2月1日に2冊目の本『Q&Aで考えるセキュリティ入門 「木曜日のフルット」と学ぼう!〈漫画キャラで学ぶ大人のビジネス教養シリーズ〉』(エムディエヌコーポレーション)が発売。スマートフォンやPCにある大切なデータや個人情報を、インターネット上の「悪意ある攻撃」などから守るための基本知識をQ&Aのクイズ形式で楽しく学べる。


Let's block ads! (Why?)



"簡単です" - Google ニュース
June 29, 2020 at 03:00PM
https://ift.tt/38cWTNP

「これだけで大丈夫、簡単セキュリティ」が危険な理由 - ITmedia
"簡単です" - Google ニュース
https://ift.tt/2H8osva
Shoes Man Tutorial
Pos News Update
Meme Update
Korean Entertainment News
Japan News Update

No comments:

Post a Comment