ESET/マルウェア情報局
スマホをなくした時、まずなにをするべきか考えておこう
本記事はキヤノンマーケティングジャパンが提供する「マルウェア情報局」に掲載された「スマホをなくした!というときに取るべき行動とは?」を再編集したものです。
スマホの落とし物をめぐる実情
2018年11月に公開された映画、『スマホを落としただけなのに』(原作:志駕晃、監督:中田秀夫)をご存知だろうか。平凡なサラリーマンがスマホを落としたことで、その恋人が身に覚えのないクレジットカード請求や、SNSを使った個人情報収集、なりすまし、スマホの乗っ取りといった執拗な攻撃にさらされるというストーリーだ。誰もが紛失する可能性があるスマホを巡る、現代的な怖さが話題を呼んだ。
実際にスマホを落とした経験がある方も少なくないのではないだろうか。「落し物ドットコム」を運営するMAMORIO株式会社の調査「2018年版”落とし物”に関する実態調査」では、財布とカバンが不動の上位を占めるものの、携帯電話も4位にランクインしている。肌身離さず持ち歩くスマホだからこそ、なくしてしまう可能性も高いのだ。
しかし、スマホはなくした「だけ」では済まされない。コミュニケーションツールとして飛躍的な発展を遂げたスマホには、プライベートな情報が満載。スマホにアクセスできてしまえば、買い物ができるアプリであふれている。近年ではキャッシュレス化の流れを受けて、Suicaをはじめとする電子マネー機能やクレジットカード決済も可能となった。紛失リスクは財布を上回り、絶対に落としたくないもののトップとして君臨しているといえるだろう。
スマホをなくした場合に考慮すべきリスク
スマホをなくした場合、最後の砦は認証機能となる。近年では指紋認証や顔認証など、突破されづらいものが搭載されているが、それも破られてしまえばスマホ内にアクセスできてしまう。そうした場合、どのような事態を想定しておく必要があるのだろうか。
・不正利用による金銭的被害
キャッシュレス社会の実現はスマホがある前提とすらいえる。いまやスマホひとつあれば、どんなものでも購入できてしまう。交通系ICカードやクレジットカードなど、複数のカードをスマホに登録している方も多いのではないだろうか。最近では、QRコード決済の提供事業者が積極的なキャンペーンを仕掛けた結果、利用ユーザー数も増加傾向にある。すなわち、スマホをなくすことがキャッシュレス決済悪用のリスクに直結するユーザーが増えているのである。Amazonや楽天などECアプリを利用しているユーザーの中には、手間を省くために毎回の認証を行わない設定にしているユーザーも少なくない。しかし、その手間を惜しむことは、紛失時に大きなセキュリティリスクになりかねない。
・プライベートな情報の漏えい
スマホはプライベートな情報の宝庫ともいわれる。いつでもどこでも気軽に写真や動画を撮影・保存できるため、見ず知らずの他人であってもスマホにアクセスできれば、家族関係や恋人の存在などプライベートな情報は赤裸々な状態になってしまう。近年、コミュニケーションはSNS主体となったこともあり、家族や恋人とのコミュニケーションに関するデータがスマホには蓄積されている。紛失時に漏えいしてしまう情報は、自分のものだけでとどまらず、大切な家族や恋人にもおよぶことになる。
・転売
スマホは、中古で転売すると、機種によっては10万円を超える価格で取引される。最近はフリマアプリの普及などもあり、買い取り店舗に行かずとも転売して現金化することも容易になっている。道ばたで拾ったスマホを転売してしまうようなケースもある。そうなると、スマホはまず手元に戻ってこないと考えられる。 転売者が端末内部のデータへのアクセスを試みず、初期化して販売するようであればまだ実害は少ない。しかし、ダークマーケットなど、取引場所の認知は高まっており、転売でさらなる実害を被る可能性があることは認識しておきたい。
映画化されるほどに、なくした際のリスクに注目が集まるスマホ。絶対になくしたくはないものだが、肌身離さず持ち歩くからこそ、紛失の可能性があることは否めない。それでは万が一スマホをなくしてしまった場合、どのように対応すればよいだろうか。
早急な対応が必要となるスマホの紛失だが、会社支給なのか私物なのかによって取るべき対応が異なるので注意したい。モバイルワークの普及により、会社支給と私物で2台以上のスマホを持ち歩いているビジネスパーソンも少なくないはずだ。過去にフィーチャーフォンを支給していた会社でも、スマホへの置き換えが進んでいる。紛失時は、複数のスマホのうち、どのスマホをなくしたか、まずは冷静に把握しよう。
会社のスマホをなくしてしまった場合の対応方法
私物化していないことが前提となるものの、会社支給の場合、ユーザー自身の個人情報はほぼ含まれないはずだ。代わりに、会社の重要情報が格納されている、あるいは重要情報へのアクセスができてしまう可能性を認識しなければならない。会社支給のスマホをなくしてしまった場合、まずは規定に従って速やかに会社へ報告するのが先決だ。連絡は先延ばしにするほど事態は悪化する可能性が増していく。
会社のスマホであれば、多くの場合、MDM(Mobile Device Management、モバイルデバイス管理)を導入していることが多い。MDM経由で、遠隔地からでもスマホを使えないようにするリモートロックや、スマホのデータを消去するリモートワイプといった機能を使い、なくしたスマホを使用不能にすることができる。会社支給のスマホの紛失対応は、会社に任せたほうがよい。逆に、MDMなど紛失対策をせずに端末を支給している会社は、早急に対応を検討すべきだろう。
個人のスマホをなくしてしまった場合の対応方法
なくしたスマホが私物だった場合、対応するのは自分自身だ。まずはパニックに陥らず、冷静に対応したい。実際に紛失した際は、以下の手順を参考にしてほしい。
・事前対策
スマホをなくした場合に備え、被害を最小化するための対策をしておきたい。最も簡単かつ効果が高いのは、パスワードの強化だ。指紋認証や顔認証を使って認証をおこなわない場合に入力を求められるパスワードは、推測しやすい文字列を避けた方がよい。加えて、内部データのバックアップもこまめにおこなっておく癖を習慣づけておきたい。1ヶ月に1回程度、バックアップしておけば、紛失時に失うデータの差分も少なくなる。
Android端末であれば、データの暗号化設定もしておく必要がある。iPhoneは標準で暗号化されているが、Android端末の場合は、ユーザー自身が暗号化を設定する必要がある。そして忘れてはならないのが、「スマホを探す」機能だ。この機能を有効にしておき、できれば事前にテストして実際に探せるかどうか試しておくと確実だろう。
・スマホを探す
事前対策のうえで実際にスマホをなくしてしまった場合、どうすればよいだろうか。まずは「スマホを探す」機能で位置の割り出しを試みてみよう。Androidであれば「端末を探す」、iPhoneの場合は「iPhoneを探す」機能で紛失したスマホの位置を割り出すことができる。
並行して、なくしたスマホに電話をかけることはもちろんのこと、紛失したと思われる場所が店や駅であれば、自分の行動導線で記憶している店舗や施設などに電話等で連絡をとっていこう。この段階で見つからない場合は被害を最小化する対策を講じていかねばならない。
・サービスを停止する
なくしたスマホを探しても見つからないとなれば、悪意のある第三者の手に渡った可能性を考慮し、スマホを極力無効化する手段をとる。まずはキャリアに連絡し、速やかに回線停止手続きをとってほしい。キャリアによっては端末のリモートロックやデータ消去等のサービスを提供している場合もある。常に最悪を想定し、先手を打って対応していきたい。
そのうえで個別アプリのサービス停止手続きをとる。真っ先に停止すべきは直接的な金銭被害につながる、おサイフケータイ機能だ。おサイフケータイ機能は電源Offでも使えるため、確実にサービス停止してほしい。そして、個人情報漏えいの恐れがあるサービスを利用停止する。メール、LineやFacebook、TwitterなどのSNSのパスワードはすべて変更しておこう。こうしたSNSサービスは、パソコンやタブレットなどの別端末からログインすることで、特定端末のログインを解除できる。参考までに、Facebookの場合の対応方法は以下の通りだ。
まとめ
なくしてしまったスマホが自分の手元に戻る可能性は残念ながら高いとはいえない。個人間での転売が容易になった時代ということも関係しているだろう。だからこそ、手元に戻らない前提で日頃から対策を講じることの重要性を認識しておきたい。そしてなくした際には、被害を最小化するための対策を速やかに実行することだ。
事前対策を講じることで、いざ紛失した時にも冷静にいられるはずだ。これはセキュリティ対策全般にもいえることだが、パニックに陥ることが、大惨事につながりかねない行動を生む源泉となる。スマホが会社支給であっても私物であっても、紛失は起こり得るものという前提で、事前対策を徹底してほしい。たしかにスマホは便利なツールだ。しかし、紛失時には牙を剥き、あなたや会社を危険にさらす可能性があり得ることを忘れてはならない。