ESET/マルウェア情報局

買い換えたスマホはどう処分すればいいのか?

  • この記事をはてなブックマークに追加
  • 本文印刷

 本記事はキヤノンITソリューションズが提供する「マルウェア情報局」に掲載されたスマホへの買い替えでデータ移行と旧端末の処分はどうすべき?を再編集したものです。

 保存容量・CPUなどの性能アップやおサイフケータイ搭載など、スマートフォン(以下、スマホ)を機種交換する理由には事欠かない。プライベートのスマホはもちろん、会社支給のものでも変更する機会が生じることもある。一方で、ひとつの端末を大切に使用し続ける人も少なくないが、インターネット上のコンテンツが年々リッチになっていくにつれて感じるパワー不足や、破損などを理由に機種交換せざるをえない状況もあるだろう。しかし、機種交換は新しい端末を購入しても、設定の更新だけでなく適切なデータ移行、使い終えた端末の廃棄なども必要となる。スマホならではのセキュリティリスクを踏まえ、機種交換で気をつけるべき点と対策について解説していく。

スマホの機種変更時に生じるセキュリティリスク

 スマホは小さなパソコンとも言われる。2000年代に一時代を築いたフィーチャーフォン、いわゆるガラケーと比較すると処理能力や保存容量、通信速度は大きく飛躍。キャリア提供の公式サイトを前提としたガラケー時代と異なり、インターネットへのアクセスやアプリ利用が容易となったことで、活用シーンはさらに拡大することとなった。今やスマホは肌身離さず持ち歩き、生活や仕事などさまざまなシーンで使用され、個人情報をはじめとする重要な情報が蓄積されてきている。その情報量はガラケー使用時とは比較にならない。

 機種交換時には、旧端末を引き取ってもらうことがほとんどだろう。となると、それまで蓄積されたスマホ内のデータは、セキュリティリスクに晒されることになる。新しいスマホにばかり意識が向かい、旧端末内のデータについては気にしないという方も多いかもしれない。しかし、自分の手から離れた古いスマホ内の重要なデータを狙う、悪意のある第三者が情報の取得を画策している可能性もある。旧端末をずさんに処分することは、極めてセキュリティリスクが高い行為なのだ。

スマホ買い替えによるデータ移行の方法

 セキュリティリスクを考慮するとデータ移行の方法もしっかりと考えておきたい。まずは、どのような移行方法があるのか順に見ていくことにする。データの移行方法は3種類に大別される。これ以外にも独自ツールの使用、Wi-FiやBluetooth経由での移行という方法もあるが、アプリ内データの移行ができないといった制約もあるので、移行方法ごとにポイントを押さえておきたい。

1)クラウド経由
 iPhoneであればiCloud、Android端末であればGoogleアカウントを経由してデータを移行する方法だ。キャリアごとに提供しているバックアップサービスを利用することもある。この方法を利用する場合、クラウド上にデータ容量の空きがありバックアップデータが格納されていれば、自動的に通信をしてデータ移行が完了する。手軽で簡単だが、GB単位でデータの送受信がされるため、スマホの回線を経由する場合、通信コストには注意したい。極力、自宅などのWi-Fi環境を利用し、開放されている公衆Wi-Fiなどは避けたほうがよい。場合によっては、悪意のある第三者にバックアップデータを取得されるおそれがあるからだ。

 参考情報:モバイルルーターはセキュリティ的に安心!?屋外でのWi-Fi利用時に気を付けるべきこと

2)SDカード経由
 Android端末の場合、SDカードを認識できる一部の端末では、SDカードにバックアップデータを格納し、新しい端末でリストアすることができる。キャリアのバックアップサービスを利用する場合でも、SDカード経由でおこなうことでWi-Fi環境がなくとも通信量を気にせずにバックアップがおこなえる。データの送受信をともなわないため、セキュリティ的にも安全性が高い。ただし、SDカードはサイズも小さく持ち運びしやすい分だけ、紛失のリスクがある。後述もするが、バックアップデータを保存したSDカードを紛失することは大きな損害につながることもあるので、その取り扱いには十分に注意したい。

3)パソコン経由
 パソコンとスマホを接続し、パソコンを経由して取得したバックアップデータを新しい端末にリストアする方法。パソコンを用意する必要があるが、パソコン側の容量が許す限り世代管理なども可能となる。もちろん他の方法と同様に、取得したバックアップデータの安全な管理には気を配る必要があるだろう。最低でもバックアップデータの暗号化は必ず対応するべきだ。

データ移行後の旧端末の処分方法

 データ移行が完了すれば基本的に旧端末は不要となる。だからといってもちろん、ゴミとして捨てるわけにはいかない。セキュリティリスクを考慮すると、どのような方法が適切なのだろうか。処分方法ごとに考えていこう。

1)キャリアショップでの下取り
 通信キャリアで下取りしてもらうことが、最も一般的かつ安心な旧端末の処分方法になるだろう。多くのキャリアでは、旧端末の下取りを値引きプログラムのひとつに組み込んでいることもある。大手キャリアは引き取った端末を海外市場に輸出することで利益を上げているため、値引きが可能となるのだ。そのため、引き取った端末のデータも適切に削除する。一方、町中で見かける、キャリア以外のスマートフォンショップなどの場合、適切な処理を前面に出していても確証を得るのは難しい。ほとんどのショップでは基本的には適切に処理していると思われるが、多少なりとも危険性は高まると考えておいた方がいい。安全性を考えるのであればキャリアショップで下取りしてもらうのがいいだろう。

2)中古スマホの販売
 メルカリやヤフオクが一般ユーザーから認知されるとともに、個人間での中古品売買が活発になっている。出品や発送の手間があるものの、直接取引ならではの高値で売れるのは魅力的だろう。こうした手間が面倒な場合、古い端末でなければリサイクルショップを使うという手もある。店舗で査定に出すだけなので、より簡単に、下取りよりも高く売ることができる可能性もある。

 ただし、いずれの方法でもスマホの取り扱いに詳しい人のみに推奨されることは注意したい。本稿でも後ほど、端末処分時のセキュリティ対策に言及するが、端末ごとに異なる仕様もあり、完全にデータ漏えいの危険性は排除できない。そのため、自分自身でデータの削除対応をしたあとに安全性が確保できているかを判断できない場合、危険性を残したまま旧端末を手放すことになる。もしデータが完全に削除されていなかった場合、販売額よりも大きな損害を被る可能性があることに留意したい。

3)レアメタル回収業者
 スマホやパソコンは「都市鉱山」との比喩があるように、部品で使われているレアメタルを回収する活動も活発だ。2020年の東京オリンピックでは、回収した小型家電から金・銀・銅の各メダルを制作する予定となっている。

 自治体などでは専用のボックスを設置し、中古スマホを投入するだけだが、その後の取り扱いに少し不安が残る。一方、大手キャリアの中には目の前でデータ復旧ができないように破砕処理をしてくれるところもある。パソコンもスマホもHDDやSSDなどデータの記憶装置を物理的に破壊することが一番の対策となる。その観点からすると、データの取り扱いの観点からは一番安全な方法といえるだろう。ただし、その場合でも回収から処分までの間にデータを窃取される可能性もゼロではないため、一般的に対応可能な手段でデータ削除をしておくべきである。

4)継続利用
 スマホでも長期間にわたり利用すると愛着が湧くものだ。その場合、サブ端末として継続利用するという方法も一考だろう。例えばiPhoneならばiPodのように利用するのは一般的な再利用である。もしくはキャリア回線は利用できないが、Wi-Fi前提で使うという手もある。今やチャットアプリなどで通話までおこなうようになってきていることを考えると、Wi-Fi環境があれば不便なく利用できるともいえる。

 ただし、どうしてもサブ端末という立場だと管理がおざなりになって紛失することもある。本格的に利用するという場合以外は、紛失時に漏えいすると困るような情報を残して置くことは避けるべきだろう。

旧端末の処分時に対応しておきたいセキュリティ対策

 端末の処分において一番安全性がある方法は、物理的に破壊することというのはすでに述べた通りだ。それ以外の方法で第三者の手にわたる方法をとる場合、旧端末に対してどのようなセキュリティ対策を講じるべきだろうか。一言でいえば、「データを完全に削除すること」である。注意したいのが、削除の「レベル」だ。

 スマホに限らず技術的なデータ削除に関して憶えておきたいこととしては、「ユーザーが削除したと考えるデータは、削除時点ではデータ領域に記録されたまま」ということ。データ領域に記録されたままのデータは、一定の知識があれば容易に復元できてしまう。そのため、完全に復元できない状態にするには、削除したデータ領域に上書きが必要となる。それではスマホの場合、「完全削除」はどのようにすれば実行できるのか。その方法は、スマホのプラットフォームにより異なってくる。

 iPhoneの場合、リセット機能が標準となっているため、簡単に工場出荷前の状態に戻すことができる。独自の暗号化技術がそれを可能にしている。ハードウェア自体に独自の暗号化技術が組み込まれており、リセット機能を使うことでデータを完全削除し、旧データにアクセス不可能な状態に戻すことができるのだ。

 一方、Android端末の場合、「工場出荷前の状態にリセット」という機能はあるが、iPhoneと同様ではなく、データの完全削除にはもうひと手間が必要となる。OSの標準機能を使うならば、事前に機器の暗号化に対応しておくといいだろう。これにより、iPhoneと同様の対応が可能となる。また、アプリを使用するという手もある。データ領域に複数回上書きを重ねることでデータが完全削除される。

移行データの漏えいは大問題につながる可能性も

 スマホの移行データが流出すると、そのデータから「クローンスマホ」とも呼ばれる複製バージョンを簡単に作れてしまう。この複製バージョンからは、クラウド上に保存してあるデータへのアクセスだけではなく、今後発生するデータにもアクセスが可能となる。チャットツールが同時ログインできる仕様ならば、リアルタイムで会話の監視すらできてしまう。クローンスマホにより芸能人の不倫が発覚したという笑えない話もある。一部のチャットツールでは、新しいスマホへの移行後は旧端末からのアクセスを拒否する機能が実装されているものの、過信は禁物だろう。

 会社支給のスマホでクローンスマホが作られた場合、状況はより深刻となる。クラウド上の重要情報へのアクセス、あるいは会社のシステム経由で重要な情報へのアクセス、漏えいといった事態を招きかねない。

 ここまで見てきたように、スマホの機種交換にはデータ移行と端末の処分はセットになる。たかがデータ移行、端末の処分とあなどらず、データが漏えいし、クローンスマホが作られてしまった際の始末を想像してみることだ。くれぐれも入念にデータ移行と端末の処分はおこなってもらいたい。