連載
» 2020年06月30日 07時00分 公開

半径300メートルのIT:「これだけで大丈夫、簡単セキュリティ」が危険な理由 (1/2)

「スマホの盗難被害を防ぐために、SIMにPINを設定しましょう」そんな呼びかけが、一部のユーザーを混乱させてしまう出来事がありました。セキュリティ対策の手段には幾つかの方法があり、それぞれの使い方や有効なシーンを理解していれば、とても正しい取り組みとなったのですが……。

[宮田健,ITmedia]

 つい先日SNSで、セキュリティに関する話題が何やらざわついているのを見つけました。つぶやいているのは、普段からサイバーセキュリティに高い興味を持つユーザーとは違うようです。そこで飛び交っていたのは「SIM」「ピン」「ロック」の文字。どうやらテレビ番組で「スマートフォンの盗難を防ぐために、SIMにPINを設定する」という対策が紹介されたようです。

 そして、番組を見た人が紹介されるままPINコードの設定を試み、SIMをロックされてしまいました。IIJに所属するエンジニアがすぐに注意喚起を投稿していましたが、ロックされた後では手遅れです。私自身は番組を見ていなかったのですが、正直なところ「ああ、これは難しい問題だな」と思いました。

そもそも「SIMのPIN」とは

 まず、今回問題となったPINに関してまとめておきましょう。SIMのPINとは「携帯電話を起動するときに入力を求め、正しいコードを入力しない限り、利用できなくする」ものです。最近のスマートフォン、特に「iPhone」はアクティベーションロックの仕組みなどが優秀です。犯罪者がスマートフォン本体を盗んでもロックを解除しなくては意図通りには売却できず、安易には現金化できないようになっています。

 しかし、本体に刺さっているSIMカードは簡単に抜けるため、別のスマートフォンに差せば不正利用が可能です。つまり高額な有料通話サービスや海外の特定エリアへの通話によって、盗んだSIMをお金に換える犯罪ができてしまうのです。このような犯罪に対しては、SIMそのものにPINコードを設定し、これが分からなければ通信や通話を不可能とする対策が有効です。それが、SIMにPIN設定ができる理由です。

 問題は、その仕組みがとても厳格に設定されていること。前述の通り不正利用を防ぐための仕組みですので、PINコードの入力を3回間違えるとSIMがロックされ、スマートフォンが使用できなくなります。ロックを解除するために必要なのは、皆さんが契約している携帯電話事業者の書類に書かれた「PUKコード」。詳細は各携帯電話事業者のFAQに明記されています。

PIN1・2コード/PINロック解除コード(PUK) | お客様サポート | NTTドコモ

SIMカードロックのPIN(PIN1コード)を忘れてしまった。PINロック解除コード(PUKコード)は何を入力したらいいですか? | よくあるご質問 | サポート | au

PINロック解除コード(PUKコード)の確認方法を教えてください。 | よくあるご質問(FAQ) | サポート | ソフトバンク

 さらに重要なのは、PINコードは携帯電話事業者が初期設定のものを定義しており、そもそも利用者はPINコードを設定していない点にあります。例えば、ユーザーが普段から使っている暗証番号を(何となく)PINコードだと思いこんで入力すると、SIMがロックされて携帯電話が利用できなくなるわけです。本来SIMのPINコード設定は、スキルのある人だけがするべきものだといえるでしょう。

「とるべき対策を端的に、結論だけ伝える」ことの危険性

 私は「SIMにPINを設定するべし」という考えを否定するつもりはありません。この話を紹介した人を責めるのも間違っていると思います。テレビ番組においては、どんなに工夫しても全ての視聴者に完全に理解してもらうのは困難だからです。

 PINの機能そのものはSIMの基本機能として用意されており、この仕組みが役に立つシーンは間違いなくあります。例えば海外には、日本よりもスマートフォンの盗難リスクの高い場所があるでしょう。海外で盗難にあった場合は日本に連絡し、回線を止めてもらう必要があります。対策が終わるまでの数時間で被害に遭う可能性があり、そのリスクを下げる方法として有効なのは、おそらくSIMのPIN設定くらいです。

 しかし、スマートフォンユーザーの全てが、そこまで大きなリスクを想定するべきなのでしょうか。端末を誰かに狙われている可能性がある人や、企業組織が所有する端末であればPIN設定は必要かもしれません。特に心当たりがなければ、対策としては過剰かもしれません。

 今回の問題は、セキュリティを確保するための複数の手段の中から、わざわざ副作用の大きい方法をリスクの説明なく紹介してしまった点にあるでしょう。前提や仕組みをすっ飛ばしてしまえば、なぜそのような方法が必要なのかも考えられません。セキュリティ対策において「端的に、結論だけ伝える」のは危険なのです。

       1|2 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ