--.--.-- --:--|カテゴリ:スポンサー広告

スポンサーサイト


上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。
 

2014.01.03 10:47|カテゴリ:Security

嵐の松潤ファンによるiPhoneのロック解除パスコード特定から学ぶショルダーハック対策


 2013年1月1日に放送された「嵐にしやがれSP」において、嵐のメンバー松潤こと松本 潤さんが自身のものと思われるスマートフォンを操作するシーンが放映、それを見ていたファンの方々がロック解除のパスコードを特定する様子が話題となっています。
 
 詳しくは、その様子をまとめた「【衝撃】嵐にしやがれSPでスマホを弄る松潤を見たファンがスマホの機種特定&パスワード解析し始める - NAVER まとめ」でご確認いただくとして、本ブログでは本件におけるセキュリティ上の問題点、および対策について触れたいと思います。

■機種特定からOS特定まで


 同番組で松潤がスマホを操作しているシーンが放映された直後から、その白いスマホの機種特定が始まります。これは端末が映ったこともあり、比較的容易だったようです。
 



 また、操作画面からiOSのバージョン、使用しているアプリも特定されています。


 


■パスコード特定


 一方、ロック解除時の松潤の操作から、ロック解除のパスコードも特定されます。








■ショルダーハック


 端末の操作を覗き見することでパスワードなど重要な情報を盗み見る行為を、セキュリティ用語で「ショルダーハック」や「ショルダーハッキング」といいます。これは、「操作者の肩越しにキータイプを盗み見る」という意味から名付けられたもので、古くからある攻撃手法の一つです。
 
 スマホの普及にともない、設定していればロック解除時にパスコードが必要になりますが、このパスコードを盗み見る行為もショルダーハックの一種とみなしてよいでしょう。

 つまり、ファンと思われる方々(ファン以外の方もいらっしゃるかとは思いますが)が行った行為ははからずも松潤のスマホのセキュリティを脅かす攻撃行為でもあったわけです。

 むろん、端末に直接アクセスできなければ被害にはつながらないので、危険性はさほど高くないとは思いますが、この件から派生する問題もあるので今回の件の問題点を挙げてみたいと思います。
  

■問題点


 「端末に直接アクセスできなければ攻撃そのものは成立しません」と書きましたが、もちろん端末にアクセスされると(松潤が今回の一件でパスコードを変更していなければ)操作をされてしまう可能性があります。なんといっても、全国ネットのTV放送です。松潤の周りでこのことを知った人もいるでしょう。そのような方の中にたとえば週刊誌等の情報を売ろうなどと考える悪意を持つ人が入れば、操作される可能性があります。
 
 また、ひとつのパスワードを使いまわす人が少なくありませんが、松潤が端末のパスコードを他のシステムにおいても使いまわしていた場合、そちらで悪用される可能性もあります。これに関しては当ブログでも再三警告しています。

パスワードの使い回しは絶対ダメ!! 盗まれたパスワードが他のサイトで試され不正ログインされる事件が多発 : I believe in technology
「Tサイト」、「gooID」、「フレッツ光メンバーズクラブ」、「eBookJapan」。ここ1ヶ月ほど、国内の会員制サイトで不正なログイン攻撃が多発しています。このうち、「gooID」と「eBookJapan」にはある共通点があります。


どっかのサイトからパスワードが流出した際にそのサイトのパスワード変更以外に気をつけること : I believe in technology
とまあ、残念なことにこのようなパスワード漏洩事件は時々発生します。当然、漏洩したサイトにアカウントを持っている方は、速やかにパスワードを変更する必要があります。そして、一部のユーザはそれ以外にもしなければならないことがあります。


 さらに、この件を知ったファンのある行為にも問題が見受けられます。

matsujyun-hacked-01.jpg

matsujyun-hacked-02.jpg


 このようなツイートは一人や二人ではありません。
 
 パスコードのような重要な情報をTwitterで自らツイートするという行為は個人的には信じられないのですが、ファン心理というのは不思議なものですね。当然ですが、このようなツイートはフォロワーさんが目にすることになります。その中にはリアルな知り合いもいることでしょう。となると、端末に直接アクセスされるリスクがあります。
 

■対策

 
 実際に被害に遭う可能性は低いとは思いますが、わざわざリスクを拡散する必要性はないですよね。パスコードをツイートした方の一部はすでにそのツイートを削除しています。まだの方は削除したほうがよいでしょう。

matsujyun-hacked-04.jpg 

 
 また、もし本当にパスコードを「7777」にしたのであれば、当然変更が必要です。
 
 変更にあたっては、「7777」のような単純なものは好ましくありません。より複雑なものにする必要があります。
 
 iPhoneの場合、パスコードロックに利用できる文字列はデフォルトでは数字4桁ですが、設定を変更することで文字や記号を交えたより長い文字数にすることができます。もし数字4桁のような単純なパスコードを利用しているであれば、以下のように設定を変更してからパスコードを複雑なものに変更しましょう。
 
 「設定」−「一般」−「パスコードロック」で「簡単なパスコード」をオフにする
 
matsujyun-hacked-03.jpg
 
 
 ショルダーハックという行為は意外と簡単にできてしまいます。
 
 もし、スマホの操作時にはロック解除画面を第三者に見られないようにすることが重要です。また、万が一見られた場合には用心のためパスコードを変更しましょう。
 
 
 最後に……。

 松本潤さんが本ブログを見るとは思えませんがwww、次回から同様のことがあれば、パスコードロック操作時は画面に映り込まないようにするか、編集でモザイク処理してもらいましょう。あと、「簡単なパスコード」は変更しましょう。



 

検索フォーム
スポンサードリンク
はてブ人気記事
スポンサードリンク
Twitter
スポンサードリンク
スポンサードリンク
おすすめApp
スポンサードリンク
プロフィール

reynotch

Author:reynotch
Twitter:@reynotch
Facebook
Google


セキュリティネタやiPhone、iPad、Android関連の記事を中心に気になったことを書いています。
IT系のネタはあまり難しくならないように、わかりやすい言葉で書きたいと考えています。



上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。