先週、オーストラリアの首相はiPhoneユーザーに向けてセキュリティに関するアドバイスを発表し、毎晩5分間iPhoneの電源を切ることを推奨しました。一見すると、iPhoneユーザーにとって無害なアドバイスのように思えますが、実際はかなり微妙なニュアンスがあります。
実際、このような大まかで一般化された発言は、ほとんどの人にとって不利益になる可能性があります。その理由は次のとおりです。
オーストラリアのアンソニー・アルバネーゼ首相は先週、国が積極的に「サイバーリスクを阻止する」必要性を強調し、この発言を行った。「私たち全員に責任があります。簡単なことですが、毎晩5分間携帯電話の電源を切ってください。これをご覧の皆さん、24時間ごとに、歯磨きをしている時など、何をしている時でもそうしてください」とアルバネーゼ首相は説明した。
アルバネーゼ氏の助言は必ずしも悪い助言ではない。実際、これは米国国家安全保障局(NSA)が2020年8月に発表した同様のガイダンスに基づいている。しかし、NSAからの助言は、アルバネーゼ氏が先週の講演で概説したものよりもはるかに具体的でニュアンスに富んだものだった。
NSAは「モバイルデバイスのベストプラクティス」の分析の中で、iPhoneを週に1回再起動することで、スピアフィッシングやゼロクリック攻撃などの脅威を「場合によっては防ぐことができる」と述べています。しかし、これらの種類の脅威は標的を絞りやすく、特定の個人またはグループを標的とすることが一般的です。
NSAが提案するその他のヒントには、使用していないときはBluetooth、Wi-Fi、携帯電話を無効にすること、「マイクを隠せるケースとカバーカメラ」を使用することなどが含まれています。セキュリティ専門家のトロイ・ハント氏がTwitterで指摘しているように、こうしたアドバイスは「一般大衆ではなく、諜報機関向け」です。
スピアフィッシングは、標的の個人や企業から情報を収集することを目的とした、フィッシングのより過激な形態です。標的の個人や組織に対して実行されるまでに、多くの場合、数ヶ月にわたる調査と偵察が行われます。データや個人情報を盗み出したり、標的のデバイスにマルウェアをインストールしたりするために使用されることがあります。
ゼロクリックエクスプロイトは、ユーザーが何もしなくてもデバイスを侵害できるため、非常に危険です。しかし、ゼロクリックエクスプロイトの大部分は、日常的にiPhoneを使用するユーザーを標的にしているわけではありません。むしろ、人権侵害の実績が乏しい政府による国家主導の攻撃であり、政敵、ジャーナリスト、弁護士、人権活動家をスパイするために開発されました。
Appleのロックダウンモード
昨年7月、Appleは「ロックダウンモード」と呼ばれる機能を発表しました。この機能は、この種の標的型スパイウェアからユーザーを保護するという同社の継続的な取り組みの一環として発表されました。ロックダウンモードはiOS 16以降を搭載したすべてのiPhoneに搭載されており、ゼロクリック攻撃によるリスクを最小限に抑える強力な保護機能を備えています。
- メッセージ: 画像以外のほとんどのメッセージ添付ファイルはブロックされます。リンクのプレビューなど、一部の機能は無効になっています。
- Web ブラウジング: ユーザーが信頼できるサイトをロックダウン モードから除外しない限り、ジャストインタイム (JIT) JavaScript コンパイルなどの特定の複雑な Web テクノロジは無効になります。
- Apple サービス: ユーザーが以前に発信者に通話またはリクエストを送信していない場合、FaceTime 通話を含む着信招待およびサービス リクエストはブロックされます。
- iPhone がロックされている場合、コンピューターまたはアクセサリとの有線接続はブロックされます。
- ロックダウン モードがオンになっている間は、構成プロファイルをインストールできず、デバイスをモバイル デバイス管理 (MDM) に登録できません。
「ロックダウンモードは、高度なサイバー攻撃の標的になる可能性があると確信した場合にのみ使用するべき、極めて高度なオプションの保護機能です」とAppleは説明しています。「ほとんどの人は、このような性質の攻撃の標的になることはありません。」
Appleは、iPhoneでロックダウンモードを有効にするべきなのは「ごく少数のユーザー」だと述べています。これには主に、身元や職業によって「最も高度なデジタル脅威の標的となる可能性のある」人々が該当します。
9to5Macの見解
オーストラリア首相のアドバイスは必ずしも間違っているわけではないが、重要なニュアンスが欠けている。
確かに、iPhoneを毎週または毎日再起動すると、スピアフィッシングやゼロクリック攻撃の脅威をわずかに軽減できるかもしれませんが、これらはほとんどのユーザーが心配する必要のある脅威ではありません。実際、これらの脅威を心配する必要があるほとんどのユーザーにとって、Appleのロックダウンモードははるかに強力なソリューションとして存在します。
本質的に、アルバネーゼ氏が行ったのは、セキュリティコミュニティ向けのアドバイスを厳選し、ニュアンスを取り除いて、すべての iPhone ユーザーに向けた一般的なアドバイスであるかのように伝えることだった。
しかし、平均的な、そして常識的なiPhoneユーザーにとって、アルバネーゼ氏の発言はメリットよりもデメリットの方が大きいかもしれません。常識的なiPhoneユーザーなら、アルバネーゼ氏の発言を読めば、自分自身とデバイスを守るには1日に1回iPhoneを再起動するだけで十分だ、という印象を受けるかもしれません。9to5Macを読んでいる方なら、おそらくそれが真実ではないことをご存知でしょう。
AppleはiOSに、日常的にiPhoneを使用するユーザーが自分自身とデータを守るための強力な機能を多数組み込んでいます。これらの機能(多くはデフォルトで有効になっています)を活用することが、iPhoneユーザーにとってデータ保護の最善の方法です。Face ID、Safariの保護機能、位置情報の共有、App Storeのルール、2要素認証など、多岐にわたります。例えば、iMessageはエンドツーエンドの暗号化を採用することで、ユーザーに非常に強力な保護を提供します。
- iOS 14.5では、アプリのトラッキング透明性が追加され、アプリはユーザーを追跡する前に許可を求めることが義務付けられるようになった。
- iPhoneのどのアプリがカメラとマイクにアクセスできるのか確認する方法
- 今年iPhoneに搭載されるiOS 17の5つの重要なセキュリティ機能
- Appleは、Apple IDの2要素認証と新しいiMessage認証技術における物理セキュリティキーのサポートを発表
- iOS 17はクリックしたリンクから追跡パラメータを自動的に削除します
- iOS 14では、正確なGPSトラッキングを必要としないアプリに、ユーザーがおおよその位置情報へのアクセスを許可できるようになりました。
- Appleは、Passkeysのリリースに先立ち、iCloudユーザーの95%がすでに2FAを有効にしていると発表
- iOS 16とmacOS 13で「パスキー」を使ったパスワードレスサインインが可能になる仕組み
- パスワードをチェックしてセキュリティを強化する 8 つの重要な方法、すべてご存知ですか?
- iPhoneのネイティブ2FAコードジェネレータと自動入力の使い方は次のとおりです。
- macOS Monterey の新しいパスワードマネージャーと 2FA 機能の使い方
- iMessage、iCloud、iPhoneのバックアップでエンドツーエンドの暗号化を有効にする方法
私の考えはこうです。iPhoneユーザーは、オーストラリア首相の「アドバイス」は無視して構いません。その代わりに、Appleのプライバシーとセキュリティ対策ツールをじっくりと見直してみてください。私の意見では、最も重要なことの一つは、ログインするウェブサイト、アプリ、サービスごとに、強力で固有のパスワードを使用することです。さらに良いのは、ウェブサイトがパスキーに対応している場合は、そちらを使うことです。
もう1つの重要な点は、iPhoneで常に最新バージョンのiOSを実行していることを確認することです。Appleは、重要なセキュリティ修正やその他の改善を盛り込んだiOSの新しいバージョンを定期的にリリースしています。これは、iOS 15を実行している古いiPhoneにも当てはまります。Appleは最近、セキュリティ修正を含むiOS 15.7.7をリリースしました。
自宅で追跡している人のために言うと、iOS 15は2015年にリリースされたiPhone 6Sまで遡ってサポートされています。ファームウェアのアップデートとセキュリティ修正が8年間も続いているというのは、素晴らしいことです。
最後に、トロイ・ハント氏がTwitterで簡潔に述べているように、「大勢の人が経験するであろう最も厄介な事態は、アプリが過剰な権限を要求することです。歯磨き中にスマートフォンの電源を切っても、この問題は解決しません。インストールするアプリと許可する権限を厳選することが解決策です。」
チャンスをフォロー: Twitter、Instagram、Mastodon
yacuten.com を Google ニュース フィードに追加します。
FTC: 収益を生み出す自動アフィリエイトリンクを使用しています。詳細はこちら。
