iPhone 5sの「指紋認証」はカッコイイ? OLさんの過信が招いたトラブル萩原栄幸の情報セキュリティ相談室(2/2 ページ)

» 2013年10月25日 08時00分 公開
[萩原栄幸,ITmedia]
前のページへ 1|2       

 すると、A嬢は「厳しい職場なので、毎朝担当の人がカゴを持って全員のデスクを周り、スマホを回収しています。そして、空デスクの中に入れて鍵を掛けて保管しています。使えるのはお昼休みだけですよ」と説明した。お昼休みの少し前に担当の人がデスクを開け、午後1時をちょっと過ぎてから再び鍵を掛けて保管し、終業時間の午後5時10分までそのままだという。彼女の部署は外回りの業務がほとんど無く残業も無いので、その運用でうまくいっているとのことだった。

 質問をさらに続けた。

筆者 急な要件や早退などはどうしていますか?

A嬢 担当の人に話せば、すぐに対応してくれます。

筆者 担当者は固定されていますか? それとも、持ち回りですか?

A嬢 固定してますよ。副部長が担当しています。

筆者 急に外出する場合は、その担当の方に承認を得てスマホを持ち出すということですね?

A嬢 はい。

筆者 その場合、どうやって持ち出しますか?

A嬢 たいてい副部長からデスクの鍵を借りて、自分の端末を取り出し、また鍵を掛けて副部長に渡していますね。

筆者 副部長がご自身でスマホを取り出すことはしないのですか?

A嬢 それはないですよ。忙しいですし、どのスマホが誰のものかを全て把握できると思いますか。頻繁に機種変更している人も多いですし。

 ここまで聞いて筆者はA嬢のiPhone 5sを手に取り、「ちょっと操作しても構いませんか」といって操作をした。A嬢は「いいですけど、指紋認証しないと何もできませんよ」と答えた。

 なお、筆者はB氏からA嬢に関する基本情報(誕生日、自宅の電話番号、携帯番号、社員番号など)を事前に聞いていた。その時点でB氏に目的を言わなかったので不審がられたものの、「目的も無く聞く人間ではない」と理解していたので教えてくれた。

 そして1分もしないうちに、待ち受け画面が表示された。「もう画面は開きましたから」というと、A嬢は「ウソ!?」「アリエナイー!」と周りも気にせず大声を挙げた。

指紋認証が突破されたワケ

 実は、この生体認証を登録する際に必ず「パスコード」というパスワードが必要になる。しかも、デフォルトでは4桁の数字だ。「まぁ、拡張機能を使ってもっと複雑なパスコードを設定できますが、大方のユーザーはデフォルトの4桁の数字を利用していますよ。Aさんも当然そうしているはずでしょう」と筆者は彼女に説明した。

 彼女の端末は、指紋認証を5回ミスすると自動的にパスコードの入力画面に切り換わる。そこでパスコードを入力すればいい。大抵の場合は4、5回も入力すれば合致する。

なぜなら、4桁の数字をパスコードに設定しているユーザーの多くは、キャッシュカードの4桁の暗証番号は嫌う傾向にあるようだ。ただし忘れてしまうと大変なのは理解しているので、その他の4桁の数字――生年月日、自宅の電話やスマホの電話番号の下4桁を設定していることが多いからである。

 機能として、設定画面にある「データ消去」を有効にすると、パスコード入力を10回ミスすると強制的にデータを削除できる設定も可能であり、その機能が無効でも6回ミスすると1分間は使用不可といった制約もあるが、筆者が披露したように、A嬢に関する基本情報を使えば、それにもひっかからずロックが解除されてしまう可能性が高いのである。

 その様子を横で見ていたB氏は、「もし私が伝えた情報で解除できなかったらどうするつもりだった?」と聞いてきた。筆者は「正直にその論理を説明するしかないですね。でも、こうやって実演してみせるとほとんどの人が『これは大変!』と驚いてくれるので、効果が絶大なんです。スミマセン」とお伝えした。

対策は?

 上述したような方法でロックが解除されてしまうことへの最も簡便な対策は、パスコードを再度設定し直し、その際に「簡単なパスコード」を選択せず、数字や英字、桁数を自由に設定できるようにして、セキュリティレベルを“指紋認証”に近づけることである。現状ではこれが実用的であり、費用もかからない。

 情報処理推進機構が公開している「情報漏えいを防ぐためのモバイルデバイス等設定マニュアル(PDF)」の中で、バイオメトリクス認証(指紋認証もこの1つ)および救済用パスワード認証のどちらかが認証されればOKというシステムは「二要素認証」ではなく、実質的な安全性はパスワード認証になる――と解説されている。

 その通りで、しかもAppleの生体認証の救済用パスコードのデフォルトは数字4桁という極めて脆弱なセキュリティ強度しか持ち合わせていないということになる。これは、セキュリティの世界で「優良誤認」というジャンルに属すものであり、素人の方々が極めて陥りやすい錯覚である。安全に使うためにはこの脆弱な点を十分に認識し、パスコード設定が数字4桁であれば、今すぐに変更する。差し支えなければ、「データ消去」を「ON」にすることをお勧めしたい(自分自身の入力で失敗してもデータが消去されてしまうので、よく検討すべきだが)。


 最後にA嬢には、「これは可能性の問題ですので、C氏が犯人という証拠にはなり得ません。間接的に証明はできても、証拠としてしまうのは極めてまずいのです。慎重に行動してください」とお伝えした。

 その半月後にB氏から連絡があった。なんとA嬢はC氏を社員食堂に呼んで問い詰めたという。C氏が「もう絶対にそういうことはしません」「皆さんには話さないでください」というので、その場で念書を書いてもらったそうだ。またC氏には、A嬢を含む仲良し三人組の間だけでこの事実を共有するが、それ以上は拡散させないとも説明したようである。C氏が逆恨みをして何を仕出かすか分からないため、A嬢たちの身を守るために、そう説明したという。

 さすが現代人であり、筆者が当事者だったならリスクが大き過ぎて、ここまでの行動はできなかっただろう。ある意味で「A嬢はスゴイ人物だ」と感じた。その後まもなくして噂も終息したらしい。筆者としては、「まぁ、こういう解決も有りかな」と思った次第である。

萩原栄幸

日本セキュリティ・マネジメント学会常任理事、「先端技術・情報犯罪とセキュリティ研究会」主査。社団法人コンピュータソフトウェア著作権協会技術顧問、CFE 公認不正検査士。旧通産省の情報処理技術者試験の最難関である「特種」に最年少(当時)で合格。2008年6月まで三菱東京UFJ銀行に勤務、実験室「テクノ巣」の責任者を務める。

組織内部犯罪やネット犯罪、コンプライアンス、情報セキュリティ、クラウド、スマホ、BYODなどをテーマに講演、執筆、コンサルティングと幅広く活躍中。「個人情報はこうして盗まれる」(KK ベストセラーズ)や「デジタル・フォレンジック辞典」(日科技連出版)など著書多数。


前のページへ 1|2       

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ