2018年に公開された映画『スマホを落としただけなのに』の続編となる『スマホを落としただけなのに 囚われの殺人鬼』が、2月22日から公開されている。志賀晃氏の同名小説(宝島社)を原作とした同シリーズは、タイトルにある通り、スマホを落としてしまったことで個人情報が流出し、思わぬ事件に巻き込まれてしまうという恐怖を描いた、現代社会ならではのミステリーサスペンスだ。
興行収入19.6億円(興行通信社調べ、以下同)の大ヒットを記録した前作同様、今作も映画観客動員ランキングで初登場2位にランクインし、興行収入15億円以上が見込める好スタートを切った。ネット上では「描写がリアル」「ある意味、ホラー映画」と大きな反響を呼んでいるが、その一方、一部では、登場人物たちのセキュリティ対策が「甘すぎる」と疑問視する声も少なくない。
では実際に、第三者からの不正アクセスを防ぎ、個人情報を守るためにはどのような対策を行えばよいのか。映画のストーリーをもとに、情報セキュリティ対策の強化や優れたIT人材の育成に取り組む、独立行政法人情報処理推進機構(IPA)セキュリティセンター企画部の加賀谷伸一郎氏に話を聞いた。
スマホのパスワードは長く、複雑に
――映画1作目では、落としたスマホのパスワードが“彼女の誕生日”という推測されやすいものだったことから、スマホを拾った犯人に簡単にパスワードを破られてしまいました。こうした事態を防ぐ方法を教えてください。
加賀谷伸一郎(以下、加賀谷) 画面ロックのパスワードをできるだけ長く、複雑にすることが大切です。まずiPhoneの場合、15年9月にリリースされたソフトウェア・iOS 9から、初期設定で数字6桁のパスコードを使用することができます。従来の4桁から6桁に桁数が増えたことで、数字の組み合わせも1万通りから100万通りに増え、セキュリティ強度も高くなりました。そして、パスコードを10回連続して間違えるとデータを消去(初期化)するという機能もあるので、「設定」の「Face IDとパスコード」にある「データを消去」を有効にしてください。6桁なら、10回のうちにロックが外れる確率はかなり低いでしょう。
しかし、古い端末を使用していたり、ソフトウェアのアップデートを行っていなかったり……あと、「覚えやすく管理がしやすいから」と設定し直し、4桁のパスコードを使用し続けている人も意外と多いんです。iPhoneの数字入力画面はガラケーのボタンと同じ配列の「テンキー」となっていて、4桁の短いパスコードだと、指の動きからも数字が推測されやすくなってしまうので、やはりなるべく6桁のパスコードを設定することをおすすめします。
なお、数字のほかに、英数字のパスワードを設定する方法もあり、こちらは100桁以上の英数字が設定可能なんですが、入力が面倒なので、使う人はあまりいないと思いますが(笑)。
――Androidを使用している場合はどのように設定すればよいでしょうか?
加賀谷 Androidの場合、機種によっても異なりますが、4桁の数字を用いた「PINコード」、9つの点を指でなぞる「パターンロック」、4桁以上の英数字と記号を組み合わせる「パスワード」と、画面ロックの方法は複数あります。一定回数間違っても数秒~数十秒待てば再度トライできてしまいます。そのため、第三者に推測されず、かつ自分が解除しやすい程度に長いパスワードを設定することが大切です。
なお、最近はiPhoneとAndroidに共通して、指紋認証や顔認証などの生体認証機能が搭載された端末が増えてきています。セキュリティ強度も高いため、できるだけこれらを活用するようにしてください。そもそも被害に遭わないためには、パスワードの設定以前に、“端末はできるだけ肌身離さず持っておく”ということも重要です。
――現在公開中の2作目では、カフェでスマホを無料Wi-Fi(公衆無線LAN)に接続したことから、個人情報が漏れてしまいます。Wi-Fiの使用だけで、簡単に情報を抜き取られてしまうものなのでしょうか?
加賀谷 情報を抜き取ることが難しいか、易しいかでいうと、難しいです。ただ、有線LANの場合は、端末をケーブルでLANに接続することでインターネットに接続されますが、無線LANの場合はケーブルを使用しない電波によるデータ通信になりますから、技術がある人であれば、電波を拾うことで通信内容を覗くことができてしまうんです。
Wi-Fiのような無線LANのアクセスポイントには、「SSID」という識別子が付けられています。SSIDは同じ空間に複数のアクセスポイントがあった時に、接続先を見つけやすくするための目印としてつけられた「名前」のようなもの。インターネットに接続する場合は、そのSSIDから1つを選び、許可された人のみ使えるようにあらかじめ設定されているWi-Fiパスワードによって接続するのですが、セキュリティ強度の低いネットワークだと、通信内容が筒抜けになってしまう可能性があります。
もっと危険性が高いのは、無料で開放されているWi-Fiに多い、パスワードが設定されていないケース。第三者にどんなページを閲覧していたか知られたり、サイトで入力した個人情報が流出してしまうなどの危険性がさらに高まると考えられるでしょう。
――では、セキュリティ強度の高いWi-Fiを見分ける方法はあるのでしょうか?
加賀谷 Wi-Fiを安全に使おうとすると、さまざまな知識が必要になってきます。スマホの画面に表示されるSSIDだけでは、そのネットワークのセキュリティ強度まではわからず、一般の方がどれが安全でどれが危険かを見分けることは非常に困難です。
また、パスワードは親機側に設定されているため、自分で親機を管理していなければ、複雑なものに変更したくても変更できない。ですから、無料・有料にかかわらず、Wi-Fiを使用する際は、“情報を読み取られている可能性がある”ということを常に頭に入れておく必要があります。
――「パスワードが設定されているから安全」というわけではないのですね。
加賀谷 これは少々怖い話かもしれませんが、例えば第三者がある無料Wi-Fiとまったく同じSSIDとパスワードを設定し、本物よりも電波を強くした不正なアクセスポイントを設置したとします。すると、端末は電波の強いほうに接続してしまいますよね。そうなると、いくらセキュリティ強度が高いネットワークでも意味を成しません。通信内容が全て読み取られたり、不正なウェブサイトに誘導されたりします。ですから、「パスワードが設定されているから安全」と言い切ることはできないんです。
近頃は、公共施設や飲食店、宿泊施設など、無料でWi-Fiを使用できる環境も整ってきました。しかし、セキュリティ強度を高めると、使用できない古い端末も出てくるため、セキュリティ強度の低いネットワークを用いることがほとんど。そのため、きちんと情報流出のリスクを理解した上で設置している場所には、「自己責任でご利用ください」といった表示がされています。そのほうが、設置者としては善良かと思いますね。
(解説=独立行政法人情報処理推進機構・セキュリティセンター企画部・加賀谷伸一郎氏/取材・文=サイゾーウーマン編集部)
■加賀谷伸一郎 独立行政法人情報処理推進機構・セキュリティセンター企画部・エキスパート(サイバーセキュリティ担当)。情報セキュリティ対策の強化や優れたIT人材の育成に取り組んでいる。
■独立行政法人 情報処理推進機構公式サイト:https://www.ipa.go.jp/
■IPA情報セキュリティ安心相談窓口公式Twitter:@IPA_anshin