家庭でのスマートフォン・タブレットの利用とセキュリティ対策

セキュリティ侵害とは？

スマートフォン・タブレットはコンピュータの一つであり、コンピュータはデジタルデータを処理する機器です。デジタルデータは電気的信号によって機器に組み込まれた様々な装置に送りあいながら、処理したり、保管したり、ということを高速に実行しています。デジタルデータの内容は写真や文書などの情報もありますが、データを渡した装置がどのように処理すべきかを指示する命令も含

まれています。

この命令の多くはOS（iPhone、iPadであればiOS、Galaxy, XperiaなどはAndroid）からもたらされたものですが、ここに不具合やセキュリティに弱い内容のものが含まれていることがあります。

OSに組み込まれた内容は膨大かつ複雑なため、通常操作では明らかにならないことが多いですが、悪意ある技術者はそこにある不具合を利用したウイルスなどの不正ソフトウェアを作成します。このウイルスが広まって問題が発生して、ようやく不具合の発見に至る場合があります。

また、リリースされたソフトウェアにおいてセキュリティ上危険がある箇所を見つけて、製造元ソフトウェア会社に通報することを行う人たちがおり、彼らの報告の結果、OSアップデートに結びつくこともよくあります。

もう一つのセキュリティ侵害は、コンピュータの仕組みを利用するものではなく、Webサイトや電子メール、SMS（ショートメッセージサービス）、LINEなどのメッセージサービスに書き込まれた内容に悪意あるものがある場合です。

これらの書き込み内容には文章だけでなく、別のサイトや別のアプリケーションを動作させるリンクを含ませることができます。

このリンクを悪意あるものに関連付けて、文章内容はうっかりリンクをタップ・クリックしてしまうような内容にすることによって、端末利用者にリンクを実行するよう促します。

リンクを実行した結果、詐欺的サイトや有害なサイトに移動したり、ウイルスなど不正ソフトウェアを実行したりすることになります。

実際には、どのようなことになるのでしょうか？

典型的な例を見てみましょう。

＜ウイルス対策の重要性を悪用したケース＞

セキュリティ侵害が発生しており、すぐに対策が必要というニセのメッセージとWebページへのリンクが送られます。そのリンクからWebページを見るとウイルス対策ソフトをダウンロードしてインストールするよう促されます。インストールしたウイルス対策ソフトは一見ウイルス対策しているように見えますが、実際はウイルス対策はやっておらず、むしろ端末の情報を抜き取ったり、さらなるウイルス対策のためには金銭が必要というメッセージを表示して支払を促したり、というような動作をします。金銭はビットコインなどの仮想通貨やコンビニなどで購入できるWebマネーなど、犯行の追跡が容易ではなく、外国からでも請求・受け取りが可能な手段が使われることが多いです。

＜金融機関からの正規のメッセージを模したケース＞

銀行やクレジットカード会社からの正規のメッセージを模した内容とリンクが送られてきます。そのリンクをクリックすると銀行やクレジットカード会社の正規のWebサイトそっくりのニセのサイトに移動します。

ニセのサイトではID・パスワード、暗証番号などの重要な情報を入力するよう促します。

もし入力して実行してしまうと、悪意ある者はその情報を入手できます。

悪意ある者は入手した情報を利用して、本人の知らない間に本人になりすまして口座内のお金を別の口座に送金したり、クレジットカードを勝手に利用したり、ということを行います。

被害者本人は口座内容やクレジットカード会社からの請求書を見て初めて被害に気づくことになります。

このように、悪意ある者からのセキュリティ侵害はコンピュータ上の脆弱性を利用するものや、詐欺行為、またはそれらを併せたものが存在します。

ここまでの例はスマートフォン・タブレット利用者が被害者となる場合でした。

しかし、実際はそれだけでなく、利用者が悪意無く加害者になる場合があります。

＜実行者に悪意が無いケース＞

スマートフォン・タブレット利用者が外部にデータを送る際に、送った先でデータが公開設定になっていることに気づかず、結果的にプライバシー侵害や情報漏えいにつながるケースです。

写真や動画、業務上作成したデータをルール外の方法で保管した後、第三者がインターネット上でそれを発見して、そのことを公表することによって発覚します。

この場合、これを実行する人は悪意ある場合は少なく、外部にさらされているという認識が全くなかったり、非公開設定にしていると思っていたり、社内ルールを守らない形で業務を円滑に進めようとする意図であったりします。

セキュリティ対策①　不正・有害なサイトにアクセスしないための方法

ここでは、悪意ある者からのセキュリティ侵害に関して、考えを進めていきます。

まずは不正なサイトにアクセスしなければよいのですが、実際に画面を操作していながら常に気をつけることになります。しかし、知識が不足しているお子様や認知能力の低下が避けられない高齢者の方に完全にそれを要求することは現実的ではないです。

そこで、システム的な手段を用いることにより、注意力だけに依存しない防御をします。

大きく分けて、「フィルタリング」と「ペアレンタルコントロール」があります。

フィルタリングとは、端末利用者がアクセスする通信の間に入り、アクセス先が不正・有害サイトと判定した場合にアクセスをブロックする機能です。無線LANルータと連動するサービスや、宅内に専用機器を設置して管理するサービスなどがあります。

このようなフィルタリングサービスでは、子ども向けのものと大人向けのものでコースが別れているものがあり、目的に応じたフィルタリングを行うことができます。

ペアレンタルコントロールとは、お子様が利用するスマートフォン・タブレット・ゲーム機といった特定機器に対して、通信可能時間・アクセス先サイトなどを管理者である保護者が制御できるようにする機能です。

各端末にはMACアドレスと呼ばれる、端末毎に固定で付与されている単一の番号があり、通信する際はその番号が付加されたデータが送受信されますが、それによって端末の特定ができます。

さらに、その通信データにはアクセス先サイトの情報が含まれており、それによってアクセス先を特定します。

したがって、例えば、お子様のiPhoneはYoutubeを平日は19時〜21時までアクセス可にするといった感じで管理できるのです。

ペアレンタルコントロールを設定する際に必要となるMACアドレスですが、iPhoneでは、設定→情報→Wi-Fiアドレスの内容がそれに相当します。

xx:xx:xx:xx:xx:xxのように2桁の数字・アルファベットが6個並んだものです。画面上のその箇所を長押しすると、内容をコピーすることができます。

MACアドレスの確認画面（iPhoneの場合）

ペアレンタルコントロールは管理手段としては有効ですが、それだけに頼らず、保護者はお子様とインターネットアクセスについてルールを決め、それを守らせることは教育的観点において重要ですので、ペアレンタルコントロールはそれを補完する手段であることは忘れてはなりません。

セキュリティ対策②　最新のセキュリティ脅威に対策する方法

不正なサイトにアクセスしなくても、正規のサイトが悪意ある者に乗っ取られ、アクセスした正規のユーザが被害を受けるということが過去に何度もありました。

サイト運営者は最新のセキュリティ脅威情報をもとにセキュリティ対策を実施していますが、悪意ある者はそれを越えようと様々な手段で攻撃してきます。

その中には、アクセスする端末のセキュリティ的弱点を利用することもあります。

また、正規のアプリストアに悪意ある機能が含まれたアプリが審査の目をかいくぐって公開されてしまう場合もあります。

このように日々変化し続けるセキュリティ脅威に対抗すべく、スマートフォン・タブレットなどのOS提供会社はセキュリティアップデートを頻繁に更新しています。

iPhone・iPadであれば、設定→一般→ソフトウェアアップデートを見ると、最新のアップデートか確認できたり、新しいアップデートがあれば更新できたりします。^１）

Androidであれば、設定からソフトウェアアップデートを選択し、更新を開始します。^２）

OSアップデートは操作上の機能向上、不具合解消だけでなく、大半は最新のセキュリティ侵害への対応、セキュリティ侵害の恐れのある状態が見つかった場合に、それを回避するための更新です。放置していても端末は利用し続けることはできますが、端末の更新通知や設定画面を時々確認し、アップデートがあれば速やかに更新を実行してください。

OSアップデートは、万全ではないものの、最も着手しやすく、有効性の高いセキュリティ脅威への対策です。

参考

１）Apple 「iPhone、iPad、iPod touchをアップデートする」 https://support.apple.com/ja-jp/HT204204

２） Google 「Android のバージョンを確認して更新する」　https://support.google.com/android/answer/7680439?hl=ja