【Android】初心者にこそ教えたい、スマホに最低限入れておくべき強力セキュリティ対策とその使い方まとめ

昨晩はroot化するということに対して追求してみました。
今日はその続きです。

「もはやウィルス対策アプリは死んだ」なんて話が昨年出てきました。

「ウイルス対策ソフトは死んだ」発言の真意は? - ITmedia エンタープライズ
シマンテック曰く、「ウイルス対策ソフトウェアはもう死んでいる」 | スラッシュドット・ジャパン セキュリティ

/.曰く、現在のウィルス対策ソフトでは攻撃の55%程度しか防げないのが現状なんだそうです。

十分とはいえずとも、半分防いでくれてるなら入れておく価値はある。この考えは間違っていないはずです。

が、それだけではありません。Androidのセキュリティ対策とはウィルスやマルウェアから守るだけではないんです。

今回はそのへんの話をします。

■2015年11月追記

全部やるほど時間もお金もない場合、優先してやったほうが良い必須項目や、少ない手順で幅広い範囲をカヴァーできる方法だけを纏めて別記事を書きました。

【コラム】Androidにおけるセキュリティ対策 要所を抑えて効率的に・広範囲を守る方法|トムとロイド

守るべきは「ID」

パソコンでもスマートフォンでも、昔からセキュリティの大切さは誰もが言ってきたことです。
では、具体的に「何を守る」必要があるのでしょう?そしてどれは「どうやって」守ればいいのでしょうか。

ひとくちに「ウィルス」「マルウェア」といっても、この2つがどう違うか知っていますか?
ウィルスってどういう経路でどこに侵入して、どこで何をして、何をどこに盗み出すか知っていますか?

これは昨晩も書きましたね。守る対象は、端末に入っている皆のプライバシー、電話帳が主になりま…………せん

Σ(゜Д゜;)

これも昨晩書きましたよね。電話帳を抜き取りたかったらアプリに権限を仕込めばいいのです。攻撃なんて危ない手段を取らずとも、抜き出すだけならできます。
※余談ついでに完全に私見ですが、無料だからって海外の聞いたこともないメッセンジャー使うことはTomさんはオススメしません。LINE/FacebookがなくてもAndroidにはハングアウトがあります。

もちろんそうはいっても、目的の1つとして電話帳を抜き取ろうとする攻撃も存在します。そしてそれは割合的には大きいはずです。

ハッカーが欲しい情報とは?

順位まで細かく調べたわけではないのですが、恐らくそう間違ってもいないと思います。

  1. メールアドレス
  2. 電話番号
  3. パスワード

ほぼ、この順だと思います。

1番と2番がほとんど変わらないことにはお気づきでしょうか?

何よりも多くの情報に繋がる「アカウント」

特に、Google/Yahoo!/Outlook/Twitter/Facebook/LinkedInなどOpenIDを使った著名なウェブサービスのアカウントには非常に大きな価値があります。

GoogleアカウントがわかればGmailアドレスがわかります。Gmailアドレスがわかればそのメアドの持ち主がわかります。
そしてパスワードもわかれば、そのGoogleアカウントを使って「ログイン」している全てが手に入ります。

feedlyで購読するRSS、Keepにメモした内容、ドライブやDropboxに保存したもの、Gmailで受信したもの、IFTTTで作ったレシピ、そしてGoogle+のプロフィールから、僕が男性で、年齢はこのくらいで、こういうことに興味を持っていて……いろいろわかってきます。

とりあえず中身をこっそりコピーして、盗みだしたアカウントとGmailの「連絡先」をもとに複数の人の情報も抜き出し、それらを迷惑メール業者に売っぱらったら、分析した結果を広告業者にも売って……大儲けですネ。
ドライブやDropboxに機密データが入っていたら更に額が跳ね上がりそうです。

東芝など大手企業もこうした被害を受けています。いち個人が守りきれると思いますか?

電話番号が狙われるのも、それをID(またはログインの手段)とするサービスがあるからです。
LINE/Facebookにはじめてサインインする時SMS受け取りませんでしたか?
ドコモIDの初期値が何だったか覚えていますか?

「メアドだけならいいや、変更できるし」じゃ済みません。

IDを守るおすすめの方法

1個ずつ見ていきます。

セキュリティアプリを入れる

これはもはや基本ですが必須です。

といってもお金をかける必要は特にありません。セキュリティアプリはあくまで事前策・防衛策であり、攻撃後の被害を軽減・保証するような「保険」的意味合いはありません。せいぜいが脅威を駆除してくれるくらいです。

そこらじゅうでおすすめされていますが、ドコモユーザーなら「ドコモあんしんスキャン」、Xperiaユーザーなら(KKでプリインになった)AVGで十分です。

ただ、セキュリティアプリを多少使ったことがあるなら選び方にこだわってもいいかと思います。
その基準は「そのセキュリティの使い方を知っている」「どの程度使えるか知っている」「いざという時問い合わせる方法がわかる」「日本語の公式ページがあって安心」「欲しい機能がある」などの場合です。

僕は昔から自分のPCにもavast!を入れていました。なのでAndroidにもavast!が入っています。

注意点としては、インストールしただけでは意味がありません

最低限次の機能はONにする必要があります。

  • ウィルス定義ファイルの更新は毎日行なう
  • 週に1回~2週間に1回程度の頻度で全体スキャンを行なう

アプリによっては定義ファイルの更新間隔を決められるものもあります。
「ウィルス定義ファイル」とは「こういうものがウィルスだよ」という判断基準を決めるものです。日々登場する新しい脅威に対向するために定義ファイルの更新は頻繁に行なう必要があります。

また、ウィルスセキュリティアプリはアプリのインストール時や実行時、SMS受信時などに脅威がないかを自動的に調べるため、常にRAM上に常駐させる必要があります。
タスクキラーを使っている場合はセキュリティアプリを例外に指定してください。セキュリティアプリは常駐して常に端末を監視していないと意味がないものです。

2段階認証を設定する

今回一番おすすめしたいのがこの方法です。
ログイン時の操作がちょっと面倒になりますし、一度不具合も発生しちゃってますし、敬遠してる人は少なからずいると思いますがこれは絶対にやるべきです。

少し前から2段階認証も突破されたなんて話も出てきていますが、確かにこの方法も完璧ではないかもしれません。
しかし、パスワードを複雑にすることに比べたら何倍も堅牢になることは間違いないはずです。

VIP Access : ワンタイムパスワードで大事なアカウント情報を保護するベリサイン製ツール!無料Androidアプリ | オクトバ
【スマホのコツ】Google 2段階認証を使って、スマホのセキュリティを強化しよう! | オクトバ

このアプリを紹介した時に書きましたが、30秒などの超短時間で変化する「鍵」を使った認証システムの堅牢性は高いです。既にIDもパスワードも盗まれている状態では無駄かもしれませんが、それはまた別の話。

特に使えるのがアプリを使った認証です。

おすすめはこの2つ。前者は主にウェブサービスで、後者はゲームや銀行系で使えます。
認証にSMSを使わないはずなので電話番号のない端末でも利用できます。特に「認証システム」のほうはオフラインでも使えたはずです。

Google認証システムは利用できるサービスも多いのが魅力で、知ってるだけでも次のサービスで使えます。

  • Yahoo! Japan
  • Evernote
  • Dropbox
  • Outlook(Hotmail)

専用の認証システムを用意しているものもありますが、これらを全て「Google認証システム」1個で賄うことが可能です。
ログイン時に入力を求められた時即起動できるように、適当なサブランチャーに登録しておくといいです。

ついでに簡単に使うTips。入力したいワンタイムパスを長押しすることでコピーできます。
僕の使い方としては、これに仕込んでアシストで呼び出し、コードをコピッてバックキーか履歴キーで戻って入力します。タップはほんの数回です。

VIP Accessにもコピペ機能はついています。それとVIP AccessにはPC版アプリがあります。

※ただし、これらOTP(ワンタイムパス)を使用する場合はバックアップに気をつけてください。故障・機種変はもちろんのこと、初期化しても使えなくなりますからネ。

設定後はじめて2段階認証を使用してログインする時にこういう項目が出ることがあります。
ここにチェックを入れた場合、以後そのデバイスからそのサービスにログインする時は2段階認証を求められなくなります。

自宅で自分だけが使うパソコン、自分のスマートフォンはチェックを入れて使うと楽です。
が、ネットカフェや会社・学校のパソコン、誰かと共同で使用しているパソコン、借りた端末では絶対にチェックを入れてはいけません。
この設定は後から変更もできます。

パスワードを定期的に変更する

めんどくさがらずに。

これさえやっておけば、万が一漏洩した場合も継続して被害を受ける危険性を下げられます。
あと当たり前ですが異なるサービス間で同じパスワードは使用してはいけません。

パスワード入力を超お手軽にするTips

頭で覚えたり紙にメモするくらいならこの方法がおすすめです。

POBox Plusで一番便利な機能はマッシュルームだと思うんだ、そこで相性の良いアプリを1つ紹介

アプリの紹介はオクトバに書いています。
これの特徴は、日本人による制作のため全部日本語であること、バックアップを取れるためマスターパスワードを忘れても復旧しやすいこと、Windows版がありPCで編集作業できることなどです。
1Password」とかでもいいです。

ずっと使ってますが、アカウント入力操作がタップ2~3回で済むようになるため本当にお手軽で助かってます。

なおAndroid 4.4ではSDにデータ保存ができないため、内部ストレージに保存されます。フォルダ名は一緒です。

これで作ったバックアップ(.dbファイル)はFolderSyncなどを使って自動でPCに送られるようにしておくと更に便利ですよ。

この手のパスワード管理アプリを使っていると、定期的にパスワードを変更した時も対応させやすいですよ。

また、現在はAvast!はじめいくつかのセキュリティアプリもパスワードマネージャをリリースしています。

僕はAvast! Passwordsを使っていますが、なかなか便利ですよ。PC版(Win/Mac)あり、Chromeアドオンあり、スマホ版(Android/iOS)ありでオールマイティですし、自動入力に対応、また安全性のため、アプリ起動時にパスワード入力を求めたり、スマホの生体認証(指紋/顔)と連動させたりすることもできます。

定期的に初期化する

何が入っていようが全て消します。いつでも自分の環境を戻せるよう、バックアップは忘れずに。

端末を暗号化する

残念ながら推奨はできませんが、現状最も強力と思えるのがこの方法です。

「設定」→「セキュリティ」からできます。

この方法の何が強力なのか、それは主に次の2点です。

  • 起動するたびにPINコードを求められ、復号化するまでデータを読めない
  • 盗難対策になる

端末の暗号化を行なうと、端末の電源を入れるたびにPINコード入力を求められます。正しいコードを入れると再起動されるため、起動までは若干時間がかかるものの、このプロセスのおかげで端末を盗んだバカヤローは何もできなくなります。

遠隔ロックやGPSによる端末の追跡から逃れるため、窃盗犯が真っ先に行なう操作は「シャットダウン」であるというデータがあるんです。

また、暗号化した端末からはデータを抜き出すことが困難になります。
これがどういう時に活躍するか、それは盗難時ももちろんながら端末を手放す時に最も大きな効果を発揮します。

突然ですがこういう検索したことありませんか?
「スマホ」を「HDD」に置き換えてみるとどうですか?

HDDでデータ復旧について調べたことがある方ならわかると思いますが、この手の記録媒体に保存したデータは「削除」しても消えません
PCでいえば「ごみ箱」に入れた後で「ごみ箱を空にする」を選んでも、実際は消えていません。
どういう状態になっているかというと、その場所(物理的な場所、メモリ上のセル等)が上書き可能になっており、そこに新しいデータが書き込まれた時、はじめて前のデータは消失します。

つまりどういうことかというと、スマホを手放す前って皆「初期化」をすると思います。でも初期化ではデータは消えていないんです。Androidの「初期化」プロセスはイレースフォーマットってことでしょうか?そんなに時間かからないことを考えると、クイック?

初期化して安心と思って売りに出した場合、買い取った人に悪意があるとプライベートな写真などを取り出される危険があるようです。

しかしその端末が「暗号化」されていた場合、読み出しに成功してもそのデータは暗号化されたままとなり、復元できないんです。ここが「強力」の所以です。

このへんの話はこちらに詳しく載っています。

あなたの売ったスマホから、情報が漏れているかも?!その対策方法 – すまほん!!

ただしこの暗号化、いくつか困った点も抱えているらしいんです。

  • 一度暗号化すると元に戻す手段はない(初期化するしかない)
  • たまに失敗することがあり、失敗するとデータを全て失う
  • アップデートできなくなるケースがあるらしい

強力故に、ですネ。

なおAndroid 5.0からはデフォルトで暗号化されているとのことで、安全性は更に上がっています。

IDは無闇に教えない

個人的にはSNSを実名でやるのもどうなのよって気も少しだけしています。信頼性が上がるとか売上アップに繋がると言われても自分でやる気は起きないです。
特に、Androidの場合はGoogleアカウントID(メインで使用するGmailアドレス)、iPhoneの場合はAppStoreのログインに使用しているメアドは厳重に守るべきです。

この2つは万が一被害を被った時、変更できない可能性が非常に高いです。

アプリや書籍、音楽、ムービーなどの「購入履歴」を捨てられますか?
アプリマーケットでは、一度購入したコンテンツは何度でもダウンロードできます。その「購入した」という記録はアカウントに紐付いています。アカウントを変更すると買い直しです。

もしも可能であるなら、友達などとやりとりするメール用のGoogleアカウントと、アプリや映画などの購入用のGoogleアカウントを分けて使えると良いかもしれません。
不可能な場合は万が一メアドが流出しても被害を受けないよう、2段階認証を導入しましょう。

公衆無線LANを使っている時はログインしない

今となってはだいぶ安全性にも気を配られているようですが、初期の公衆無線LANは通信を平文(暗号化されていない、誰でも閲覧可能な状態)で送信していました。
このためメールなどを公衆無線LAN経由で送信すると中身を読まれてしまいます。
海外で実験した結果、保護されていないパソコンなどを公衆無線LANアクセスポイントに接続すると20秒~数分の間に100を超える攻撃に襲われたといったデータもあるようです。

公衆無線LANを使う時は暗号化方式に注意すると共に、ブラウザでウェブサイトを閲覧する程度の軽い用途に留めるべきです。

間違っても公衆無線LANに繋がった状態でパスワードを入力しないほうがいいですヨ。

できるだけ新しいバージョンのOSを使う

rootの話をした時にも触れましたが、人間が作ったものである以上プログラムにはどこかに抜け穴となる「脆弱性」が存在します。
世界的な超大手、GoogleやOracle、Adobe製のソフトウェアにすら頻繁に脆弱性が見つかっていますよね。

発見された脆弱性はアップデートで修正されます。

古いバージョンを使い続けることはこの脆弱性を放置する結果となります。
国内キャリアはアップデートが遅いというのも事実ですし、新品の端末は高いという問題もあり、なかなか難しいとは思いますが、一度アップデートが提供されたらできるだけ早い段階で適用し、無視しないようにしてください。

「絶対」なんて「絶対にない」

面白い矛盾ですが、この世に100%安全なものは100%存在しません。
少しでも可能性・危険性を下げるのが重要なのであって、完全に防ぐことは不可能です。

そこで諦めるのは自分の勝手ですが、そのせいで情報が漏れてしまう友達にとってはたまったものじゃありません。

攻撃というのはいつどこから来るかわからないものです。少しでも危険に晒さないために、知るべきことは知っておいてください。

そんな感じ。

2 COMMENTS

tomandroid

リスクはどこにでもあるので、Gmailだけが特別危ないというわけではありません。
ただ、あらゆることに使えるツールはそれ相応に複雑にできているため、いざという時に何をどうやってリスクを回避するのか、その方法を知っておく必要はあると思います。

返信する
通りすがり

記事を遡りながら楽しくも興味深く拝読しています。いちいち仰ることや書かれてることに説得力がありますね。Gmailは今まであまり気にせずメインのメアドとして使ってきましたが、他人との連絡用に軽々に使うものではなさそうですね。サブアカ復活かな、、

返信する

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です