最近の記事

アーカイブ

もっと見る

2019年2 月

          1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28    

カテゴリー

フィードを購読

リンク

  • サイト検索
    Loading
  • 受注のご案内
    セキュリティ意識が高い企業や公的機関、コンテンツプロバイダー様の需要にお応えし、デイリーでセキュリティニュースを配信します。 ご要望のテーマに沿ったニュースの編集、コラムの受注も可能です。 サイトに掲載いただくだけでなく会員の方々へのメール配信も可能です。 詳しくは、弊社ホームページよりお問い合わせください。
  • 現代フォーラム
    現代フォーラムHPへ

ブログのURL


このブログのURLをメールで送信

« 2016年12 月 | メイン | 2017年2 月 »

2017年1 月

◆PCやスマホ、IoT機器を守る“物理的”セキュリティ対策(2017/01/30)

サイバー空間のセキュリティはソフトウェアによる対策だけではなく、LANケーブルを抜くなど“物理的”対策も有効なことがある。PCやスマホの画面をロックして覗き見や盗難に備えたり、内蔵カメラにマスクをして遠隔操作の盗撮を防いだり。物理的対策にどんなものがあるのか、どのような効果があるのかをご紹介する。

<INDEX>

■サイバー時代の“物理的”セキュリティ対策とは
■PC、スマホの「画面ロック」は必須
■スマートフォンは「4桁以上」でロックを
■「指紋認証リーダー」のハッキング対策
■万一の盗撮を防ぐ内蔵カメラの「マスク」
■USBメモリ、SDカードなどの物理的セキュリティ対策
■「IoT製品」の危険――紛失や盗難を想定した対策を


<以下本文>


■サイバー時代の“物理的”セキュリティ対策とは

セキュリティ対策は、対策ソフトウェアをインストールしたり、オペレーティングシステム(OS)やアプリのプライバシー設定を調整したりするだけではない。PCやスマートフォンを、持ち主以外の誰かに持ち出されないように、鍵付きの保管庫にしまったり、電源スイッチをキーロック式にしたりする“物理的な”対策もある。

サイバー空間のセキュリティ対策に物理的なセキュリティはあまり意味がないのではないかと思うかもしれないが、セキュリティで重要なのは 「この対策をすれば大丈夫だ」というものがないという前提に立った柔軟な考え方を持つことだ。したがって、デバイスや状況によっては、鍵でロックする、LANケーブルを抜く、といった対策も有効なことがある。マイナンバーの管理では、中途半端なシステムを作るより紙で管理する方が安全と考える企業も存在する。

個人でも企業でも、セキュリティ対策を二重、三重に施すことは安全性を高めることになる。物理的な対策にどんなものがあるのか、どのような効果があるのかを整理しておこう。なお、ここでは物理的な対策にフォーカスするため、ソフトウェアやOSの設定で可能な対策(デバイスを無効にする設定など)はあえて取り上げないこととする。


■PC、スマホの「画面ロック」は必須

PC、スマートフォンの物理的なセキュリティ対策でまず考えたいのは、パスワード、パスコード(暗証番号、PIN)による画面ロックだ。画面ロックをかけておけば、外出時などでちょっと目を離した隙に、不用意に他人に使われたり画面を見られたりすることを防ぐことができる。

ときどき、喫茶店などで、ノートPCの画面を広げたままトイレに立ったりする人を見かける。本来、この時点でNGなのだが(せめて画面を閉じカバンにしまうなど人目につかないようにする)、やむを得ない状況やうっかりということもある。離席時には画面ロックする習慣をつけたい。

さすがに自宅に設置したデスクトップPCは設定しなくてもと思うかもしれないが、極論すれば泥棒や不審者の侵入を考える必要がある。そこまで考えなくても、何かトラブルがあったとき、「このPCの操作は画面ロックで制限されている」という前提を作っておけば、原因や状況の特定が楽になる場合がある。

画面ロックは、ログアウトしたり処理を中断したりすることなく、画面表示とキーボードなどの操作のみを無効にする機能のことをいう。Windowsでは「ロック」、Macでは「ディスプレースリープ」などと呼ばれている機能だ。Windowsの場合は、[Windowsロゴ]キーと[[L]キーを押すと、画面がロックされる。Macは、[control]キーと[shift]キーを押しながら[電源]または[メディアイジェクト]キーを押すと、画面が暗転しロックされる。

注意しなければいけないのは、標準設定のMacの場合、ロックの解除にパスワードが要求されるようになるまでに5秒かかる点だ。「システム環境設定」から「セキュリティとプライバシー」を開き、「一般」タブで「スリープとスクリーンセーバの解除にパスワードを要求」がチェックされていることを確認し、「開始後」の設定を「すぐ」に変更する。

201701_01
図1 Mac OS 10.12.2の画面ロックの設定画面

 

Windowsの場合、パスワードを設定せずにローカルアカウントを使用することができるが、ロックの解除もパスワードが不要になってしまうので、必ずパスワードを設定する。Windows 10/8.1の場合には、サインインオプションで暗証番号などの他の認証方法を利用することも可能だ。Windows 10は、スタートメニューから[設定]を開き、[アカウント]→[サインインオプション]と進む。Windows 8.1は、[Windowsロゴ]キーと[C]キーを同時に押してチャームを開き、[設定]→[PCの設定]と進む。[PC設定]画面の[アカウント]→[サインインオプション]で設定できる。

201701_02
図2 Windows 10のサインインオプション

 


■スマートフォンは「4桁以上」でロックを

スマートフォンの画面ロックは、標準では、4桁や6桁の暗証番号(パスコード、PIN)を使うことが多いが、任意の桁の数字や文字を含んだパスワード、点を指でなぞって結ぶパターン、指紋認証なども利用できる。

iOSの場合は、[設定]から[Touch IDとパスコード]または[パスコード]に進むと、指紋認証やパスコードの設定変更が行える。Androidの場合は、[設定]から[セキュリティ][画面のロック][ロックスクリーン][スクリーンロック]などの項目に進むと設定変更が行える。

201701_03

図3 iOS 10.2のパスコード設定項目


パスコードを変更するとき「オプション」を設定すれば、桁数の変更などができる

201701_04
図4 Androidの画面ロック選択

 

状況は限定されるが、画面の指の跡で、どの番号をパスコードに使っているかがわかってしまうことがある。4桁の暗証番号は、使用している番号がわからなければ10000通りだが、例えば[0]しか使っていないことがわかってしまうと一発で破られてしまう。同様に使用している番号が2種類なら最大14通り、3種類なら最大36通り、4種類なら最大24通りを試せばパスコードが破れてしまう。少ない桁数の数字を使用している方は、跡が付きにくいシートやコート剤を使う、適宜ふき取る、全体にまんべんなく跡を付けておくなどの方法で、特定を回避するとよい。


■「指紋認証リーダー」のハッキング対策

最近のデバイスには指紋認証用のリーダーがついているものもある。パスワードを入力しなくても簡単にログインできる便利さはあるが、指紋認証のハッキングも古くからある手法だ。

粘土やグミキャンディーを使って指型をとる方法や、持ち主が寝ている間に指を借りるという方法もある。主に浮気を疑う夫婦やカップルが相手のスマートフォンのメールを読むために使うことが多いようだが、昨年のクリスマスシーズンには、寝ている母親の指でロックを解除し、アマゾンで買い物をした6歳の少女が話題になった。

対策としては、指紋認証機能を利用しない、就寝時などは一時無効にする、利用する場合には人差し指や親指ではない指、指の腹以外の場所で登録するなどがある。


■万一の盗撮を防ぐ内蔵カメラの「マスク」

PCの場合、ディスプレイ上部にカメラを内蔵していることがある。これをテープなどでマスクするという対策がある。そのためのグッズも販売されている。スマートフォンなど画面側カメラを潰したくない場合、シャッターのように開閉できる小さいプレートを貼りつける用品も存在する。

カメラをマスクするのは、遠隔操作マルウェアなどに感染して、知らない間にカメラを起動され盗撮やプライバシーが侵害されるのを防ぐためだ。遠隔操作マルウェアは電子的にはカメラを自由に制御できるが、物理的に貼られたシールにはなすすべがなく、マスキング対策は最後の砦となる。ただし、盗撮は防げてもそれ以外の遠隔操作はソフトウェアやシステム上の対策が必要なのはいうまでもない。

遠隔操作マルウェアは、現実的なリスクなので、前述の指紋センサーの封印より意味のある対策であり、一定の効果も期待できる。なお、同様なリスクは内蔵マイクにも言える。スマートフォンの場合、物理的なマスクは通話が不便になるので現実的ではない。盗撮・盗聴などのリスクが自分やその端末にとってどれくらい現実的なものか(ストーカー被害・DV被害にあっているなど)を勘案して実施すればよい。結局のところ、マルウェア感染対策と、知らない間に近親者に監視アプリをインストールされないよう画面ロックしておくことが、現実的な最善策かもしれない。


■USBメモリ、SDカードなどの物理的セキュリティ対策

マルウェアの侵入や情報漏えいの経路はネットワークだけではない。USBメモリを介した感染被害や情報漏えい(不正な持ち出しなど)も実際に発生している。そのための物理的な対策として、USB端子を塞ぐための部品が売られている。個人利用のPCでUSBを使えなくする必要性はほとんどないと思われるが、勝手にUSBデバイスを差して操作されたり、USB経由で端末を操作されたりしないよう、画面ロックを心がけたい。

なお、USBメモリやSDメモリカードを使用している方は、席を離れている間にメモリを抜かれてしまうことがないよう注意したい。スマートフォンでマイクロSDカードを使用している方も同様、カードが抜かれて中を見られてしまう可能性がある。SDカードの暗号化に対応した一部の端末では、カードにパスワードを設定し保護することができる。

201701_05
図5 SDカードにパスワードを設定

 


■「IoT製品」の危険――紛失や盗難を想定した対策を

IoT製品(ネット接続が可能な日用品や各種デバイス)は、今後さまざまな形態・用途で広がっていくといわれている。いままでネットワークにつながっていなかったものが対象となるため、どのような対策が必要かは現時点での議論は難しい。

現状、身近に接する機会があるものは、リストバンド式のバイタルメーター(活動量計)、体重計、VRゴーグル、Webカメラ、スマートロック(ドア室内側に取り付けスマートフォン等で鍵の開閉を行う)、インターネットに接続するカーナビ・車載情報端末などだろう。他にも食事中・就寝中・歩行中など利用を意識しないデバイスが想定される。

現時点で共通して考えられる対策は、デバイスの紛失や盗難対策になるだろう。落としたり、盗まれたりしたときどんな影響・被害が想定されるかが基本となる。

例えば、スマートロック製品によっては、持ち主のスマートフォンがあれば誰でも鍵を開けられてしまう(物理的な鍵と同じ)。また盗難とは異なるが、Amazon Echoという音声アシスタント(音声で自宅から買い物ができる端末)では、声の個人認証をしていないため、子どもが勝手に商品を注文してしまう事例が発生している。

(執筆:現代フォーラム/中尾)

<参考URL>
・Your Children Already Know What They’re Getting for Christmas?Thanks, Internet
http://www.wsj.com/articles/those-ads-that-follow-you-around-the-internet-are-ruining-christmas-1482507745
・盗撮マルウェアの注意喚起(NCA)
http://www.nationalcrimeagency.gov.uk/news/721-voyeur-hacked-webcams-to-spy-on-victims
・BBC報道
http://www.bbc.com/news/technology-34475151

投稿情報: 10:02 |

|