Pages

Pages

Jul 27, 2008

iPhoneのセキュリティ上の問題点((元記事はこちら))


iPhoneは高機能、大容量で今までの携帯ではできなかった事ができるが故、悪用誤用盗用された場合のリスクが高いように思える。今iPhoneを使っている人向けにセキュアに使うためのTipsをいくつか紹介したいと思う。


パスコードを要求する設定にしよう


操作をする際に4桁のパスコードを要求するように設定をしよう。今までの携帯と違ってiPhoneには電話帳、写真、携帯メール、Webメールの認証情報などさまざまな情報が保存されている。パスコードを設定していないでiPhoneを落としたり、置き忘れた場合のために保険をかけておくべきだ。


f:id:kkomiyama:20080726201750j:image



※ちなみに数字4桁の暗証番号というのは実は本気で攻撃を仕掛けられた場合意外にも「脆い」。けれどもパスワードをかけないよりも安全度が格段に上がるのは間違いないのでやっておくべき。


※パスコードの入力時にはのぞき見られていないことを確認しよう。デバイスの入力方法がタッチパッドであることから、キー入力の内容が普通の携帯電話よりばれやすい(ショルダーハックされやすい)。


パスコード設定上の注意


パスコードを要求するタイミングはデフォルトで”5分後”になっている。これは5分間操作が行われなかった場合にパスコードを求めるということである。個人的には”1分後”にして使うことをおすすめする。


SMSプレビュー表示”はオフにする。

そうしないとパスコードのオン/オフに限らず、SMS受信時に待ち受け画面にSMSの送信者とメッセージの中身が表示される。せっかくパスコードで制限をかけているのにSMSの内容が見えてしまうのはかなりまぬけである。気をつけよう。


i.softbank.jpのメールチェックは無線LANを使わない


i.softbank.jpのメールサーバはSSLに対応していない。つまり無線LANを使ってi.softbank.jpのメールをチェックしようとすると、そのネットワーク上をメールのパスワードや本文を含めた全てのデータが暗号化されていない状態で流れる。外出先でFONのアクセスポイント、その他の公衆無線LANなどを使った場合に、そのアクセスポイントの先で通信が盗聴されていないという保証はない。


メールチェックをするときにはWi-Fiをオフにして、Softbankの3G携帯網を使ってメールサーバにアクセスするようにするのが望ましい*1


GPS搭載で画像に位置情報が埋め込まれることを知ろう


iPhoneのカメラで写真を撮ると、デフォルトで日付や撮影した場所の緯度経度が記録される。(設定変更可能)意識して使っている分には便利な機能であるが、知らないで冷や汗をかく人がいそうなので念のため書いておく。


アプリ/本体のソフトウェアは最新のものを使う


アプリや本体のソフトウェアは頻繁に更新される。その中ではセキュリティ上の修正も含まれている可能性が高い。常に最新のバージョンを使い続けるために、定期的にiTunes Appのアップデートのタブを確認しよう。


パスワードを求めるアプリは使わない


異論反論を承知の上でここは「既存サービスのパスワードを求める第三者が提供するアプリは使うな」と言い切っておく。


既存のWebサービスをiPhoneに対応させる作業がすすんでいるが、そういうネイティブアプリケーションやWebアプリケーションの中には本来のサービス提供者ではなく第三者が非公式に提供しているものがある。以下の2つのスクリーンショットを見ていただくと分かりやすい。


f:id:kkomiyama:20080726201748j:image


f:id:kkomiyama:20080726201749j:image


それぞれmixi, skypeとは関係ない第三者がiPhone用のUIを提供している。iMixiに関してはmixiのiPhone対応がされていないことからこのようにUIを変えてiPhoneから使いやすくするようなサービスを使うユーザがいるらしい。


しかし、例えばmixiのユーザIDやパスワードをmixi.jp以外のドメイン名のWebサイトに入力するということは避けるべきである。ユーザIDやパスワードが盗まる危険性があるということを覚えておいて欲しい。アプリの作成者にそのような悪意がなかったとしても、そのサイトがハッカーなどに侵入されればフィッシングサイト化することはありうることである。


現状mixiについてはsafariを使ってパソコン用のサイトを見るというのがもっとも安全な方法である。


まとめ


今までの携帯/閉じた携帯サイトでは以上のようなことを気にする必要はあまりなかった。よくわからない人は各携帯キャリアが用意するポータルからリンクされているサイトだけを使えば良かったからである。(docomoのi-modeならiメニューがこれにあたる。) この場合、リンク先の安全性はある程度キャリアによってふるいにかけられていた。閉鎖的だと言われていたi-modeや既存の携帯コンテンツの1つの利点はそこにあった。iPhoneの登場でコンテンツは携帯キャリアが用意するものではないという姿勢がより明確になってきた。


このアプリ自由化の流れはバラエティに富んだコンテンツが利用できるというメリットをもたらしたが、その代償としてユーザ一人一人が玉石混淆のコンテンツの中から自分で考えて取捨選択をする必要が生まれたわけである。


今までのお仕着せの携帯とは違うということをユーザ一人一人が意識していないと、便利なはずのiPhoneが一転して、個人情報を危険にさらすやっかいものになる恐れすらある。




*1:私が都内で使っている分には3Gネットワークの速度は十分であるため、Wi-Fiは使わない設定にしている。これでもYoutubeが閲覧できるし、通常使用になんの問題もない。状況が許せば素性の知れない無線LANを使わないように3Gに一本化するのが安全である。