新iPhoneへの機種変更 「セキュリティと利便性、どっちを取る？」を考えた：半径300メートルのIT

新型iPhoneへの機種変更は昔と比べると随分簡単になりました。ただ筆者は便利なものを見ると逆に「これ、セキュリティ大丈夫なのかな……」と思ってしまいます。この簡単になった移行作業は果たして安全なのでしょうか。

[宮田健，ITmedia]

　新しい「iPhone」に機種変更しました。年々機種変更のためのデータ移行は簡単になっており、2025年の移行はバックアップ以外の事前準備を意識せず、指示に従って2台の端末を近づけておくだけで、ほとんどの作業が完了しました。2025年夏にスタートしたマイナンバーカードの追加や、相変わらず慎重な作業が必要な「LINE」のデータ移行だけは気を付けたいところです。

　今回は機種変更のタイミングで感じた、スマートフォンを使う全ての人が考えておくべきことをまとめたいと思います。

移行作業は簡単になったけど……　その際のリスクも考えてみよう

　2025年のiPhoneは大変よくできているということで、多くの方が今回のタイミングで機種変更を考えているのではないでしょうか。我が家でも家族分のリプレースをし、移行作業を繰り返しました。それでも大した作業ではないと感じられるくらい、よくできています。

　特に2025年は「eSIM」が注目されました。確かにSIMを入れ替えることも少なくなり、物理的なSIMスワッピング対策としても、突発的なトラブルがなければもうeSIMをベースに考えていいかもしれません。ただし、移行作業の中でeSIMを消す可能性のあるステップが幾つかあり、慎重な作業が必要ですね。

　「セキュリティと利便性はてんびんのようなもの」とよく表現されます。多くの場合、「セキュリティを考えるのなら利便性は少し諦めてください」という文脈で使われますが、逆に便利なものを見ると「これ、セキュリティ大丈夫なのかな……」と思ってしまうようになります。それを考えると、この簡単になった移行作業は果たして安全なのでしょうか。

　よく作業を見ていると、その部分にも大変工夫されていることが分かります。「iOS」の移行の場合、近づけるだけで反応し、データを移行するかどうかを聞いてきます。ほとんどパスワードを入力することもありません。しかし、端末のカメラを使って旧機種に表示される模様を動画撮影することで認証させたり、新しい端末で古いパスコードを要求したりと、本人がその場で新旧端末の両方を所持していることが前提の作業になっています。

　ただし問題は端末を奪われたときかもしれません。端末を奪われ、パスコードもバレていたとしたら、勝手に移行される可能性はゼロではないでしょう。その意味でも、スマートフォンだけでなくPCやタブレットなどのデジタルデバイスは肌身離さず管理すること、そしてパスコードはむやみに開示しない、入力しているところを見せないということが重要です。できる限り、第三者が悪用しにくい生体認証を併用してください。

　この他、OSベンダーに関係するアカウントである「Apple Account」「Google アカウント」の保護だけはしっかりと実施しましょう。多要素認証を設定する、パスキーを登録することはもはや必須です。筆者は最近「物理キー」も併用するようにしました。ここを突破されると全てのデジタル情報が奪われると考え、できる限りのセキュリティ対策を講じましょう。

利便性よりセキュリティを取る　代表的な業界の取り組みを紹介

　一方で利便性を下げてでもセキュリティを強化するという強い意志を感じるアプリもありました。金融系とゲーム系です。

　ゲーム系アプリについては、意外かもしれませんが非常に強いセキュリティ機能を有しています。チート対策や不正利用対策が進んでおり、単純なID／パスワード＋ワンタイムパスワードだけでなく、特定の端末を認証の鍵とする仕組みが含まれており、機種変更時には追加の認証を要求し、旧端末の解除などが必要な場合があります。こちらも機種変更前に調べておく必要があるかもしれません。ゲーム関連の企業は確かにパスキーの導入も早かったと思います。こちらも体験してみてください。

　そして、2025年最大ともいうべき不正アクセス事件を起こした証券会社のセキュリティは、思った以上に強化されていました。機種変更後にアプリを立ち上げログインしようとしてもエラーで弾かれてしまいます。よく見てみると、設定でログイン制限設定を解除せよ、と指示がありましたので、PCからその設定を変更しようとログインを試みるが……これも弾かれてしまいます。

　さらに何と新たな端末からログインする際には、一度指定の電話番号に登録済みの電話番号から通話をし、3分以内にログインする必要があるとの説明がありました。これを順番にクリアすることで、いつものようにログインができるようになりました。

証券会社のセキュリティは思った以上に強化されている。筆者は電話番号認証サービスでログインしてみた（出典：SBI証券のWebサイト）《クリックで拡大》

　まるでロールプレイングゲームみたいな状況ですが、昨今の状況を考えると仕方がないことかもしれません。利用者の機種変更は当然あり得る作業ですが、このフローには悪意が入り込みやすいからです。しかも、先のように新旧端末が手元にあるとは限らず、あなた自身が本当にあなた自身と“インターネット越しに”確認する作業が必要ですので、慎重にならざるを得ません。この部分についてはてんびんを安全側に倒すという選択が最も正しいでしょう。

　定期的に紹介している金融庁の統計では、2025年9月の被害件数、不正取引金額も大変下がりました。証券会社が血を流しながら進めた施策を、機種変更のタイミングで目の当たりにできました。皆さんも一度、これを身をもって体験しておいた方がいいかもしれません。

インターネット取引サービスへの不正アクセス・不正取引による被害が急増しています（出典：金融庁のWebサイト）《クリックで拡大》

パスワードやCookieの重要性をあらためて知ろう

　機種変更の前に、実はメインの「パスワード管理ソフト」を変えてみました。これまでは「1Password」を使っていましたが、これを機にOS標準のパスワード管理機能に移行しています。パスワード以外の情報も保存できた1Passwordに比べると機能は必要最低限ですが、OSベンダーがメンテナンスしてくれるという安心感はとても良いと思います。ぜひ活用してください。

　機種変更後にWebサイトを見ると、旧機種でログインされていたWebサイトは新機種でもそのままの状態で移行ができていることにも驚きました。つまりCookieなどの情報もそのまま移行されていることになります。これこそが便利であり、リスクでもあると感じました。

　OS標準の機能は攻撃者にとっては格好の攻撃対象です。そこを突破できれば、多くの利用者がターゲットになります。OSやWebブラウザが保存する情報を根こそぎ奪う「インフォスティーラー」のようなマルウェアが入り込んでしまうと、この便利な機能が牙をむくことになります。そう考えると、この機能をどうするかも考える必要があるかもしれません。

　個人的な見解ですが、「それであればCookie保存をやめよう」という選択は、特に個人利用では困難でしょう。利便性を捨ててセキュリティを高められても、そこまで利便性を下げていいとも思いません。もしそこをリスクと考えるなら、Webブラウザの機能である「シークレットウィンドウ」などの、Cookieや履歴が残らない機能を活用するのも一つの手段になります。

　ただし仕事用の端末であると、話は変わってくるかもしれません。例えば社内システムのログインについては、パスワード管理ソフトやシングルサインオンの機能を活用することでログインの手間をかけず、かつセッションの有効期間を短くすることでCookie窃取のリスクを下げるということを検討してもいいかもしれません。

　機種変更を通じて「セキュリティと利便性」の関係を見直せました。ある部分ではその2つのいいとこ取りができますし、ある部分ではどちらかのメリットだけを享受するという選択ができます。そして、それを利用者が意識することで、今のサイバー空間の治安も感じられる、興味深い発見のある作業でした。皆さんもぜひ、手元のスマートフォンをその視点で見てみるのはいかがでしょうか。

著者紹介：宮田健（みやた・たけし）

元＠ITの編集者としてセキュリティ分野を担当。現在はフリーライターとして、ITやエンターテインメント情報を追いかけている。自分の生活を変える新しいデジタルガジェットを求め、趣味と仕事を公私混同しつつ日々試行錯誤中。

2019年2月1日に2冊目の本『Q＆Aで考えるセキュリティ入門　「木曜日のフルット」と学ぼう！〈漫画キャラで学ぶ大人のビジネス教養シリーズ〉』（エムディエヌコーポレーション）が発売。スマートフォンやPCにある大切なデータや個人情報を、インターネット上の「悪意ある攻撃」などから守るための基本知識をQ＆Aのクイズ形式で楽しく学べる。