はじめに

基本的な内容としてはタイトルの通りです。
本記事作成の理由としては、前回書いたNFTの業界にて「ユーザのセキュリティ意識が低い」と書いたので、じゃぁ次はそのセキュリティについて深堀りしようか、という理由。

実際前回の記事を書いて以降も、やれウォレットが乗っ取られただのNFTを盗まれただのといった通報が後を立たず。

PCであればウイルスソフトを入れろ云々言えますが、じゃあスマホは？となると萎んでいく記事が多いです。
ですので、一応セキュリティ屋の端くれとして、民間療法的に出来るセキュリティ対策は記事にすべきと思った次第。

事例と対策

まず、本記事では「ウイルス感染怖いよね！対策ソフトを入れよう！」みたいなクソ記事を書くことを想定していません。

そのため、その手の基礎セキュリティに関して触れる予定はないです。
※そもそも最近のスマホは少なからずウイルス対策ソフトに近いエンジンを搭載しており、PCほど厳密に考える事はないです。

①ストア外からのアプリケーションダウンロード

事例：
ストア外から.apkまたは.ipkのインストールファイルを実行し、不正プログラムの仕込まれたアプリをインストールした。

原則スマホ用アプリはストア審査を通すため、一部の中華系アプリを除いて不正プログラムを仕込むことは極力出来ないようにされています。
※後日ストアから「いや、このアプリ仕込んでるわ」という発表があるケースもあるため、絶対ではないです。

しかし、.apkや.ipkの配布といったストアを通さない個人開発・小規模開発のアプリがネット上には存在します。
※例外としてオフィシャルなものでDMMゲームやAMAZONストアアプリ、SPAT4アプリなどはありますが。

例外を除き、これらのアプリには故意に不正アプリケーションが仕込まれている場合もあり、アプリケーション側でファイルアクセス権限を取得し、中のファイルを全て外に転送…といった行為ができたりします。
開発者側に悪意がなくとも、不正なプログラムを仕込まれていたケースや脆弱性を突かれたケースもあるため、注意が必要です。

対策：
基本はわけわからないものは、無作為に入れるな。これに限ります。
開発元の信用度などを精査し、リスクはあるがどうしても使用したい場合は、使っていない端末などの隔離環境端末での一時使用を検討しましょう。

②フィッシングサイトのURLにアクセスした

事例：
偽装したページや詐欺を目的としたページにアクセスしてしまい、そのサイトでパスワードや暗証番号などを入力してしまった。

NFT界隈で死ぬほど多い事案です。
PCであればURLフィルターなどで弾かれるようなサイトも、スマホでは素通りすることも少なくないです。
また、昨今増えているのがgoogle検索の一番上(スポンサー広告枠)に偽装ページへのリンクが掲載されており、フィッシングページにアクセスしてしまうケース。

とにかくなりすましメールだの、検索結果のフェイクだのとやり方が巧妙化していると共に、ウイルス系の攻撃以上に原始的且つ件数の多い事例です。

対策：
まずgoogleなどの検索結果は「スポンサー」といった記載がある場合はアクセスを取りやめましょう。
最も確実なのはブックマーク登録をしておくことですが、少なくともURLが企業なのに.COじゃない、日本のものなのに.JPじゃないなど、不審な点が無いかを確認しましょう。

最近は公式アプリを積極的に使用するケースも増えたため、ネットバンキングなどは公式アプリからのアクセスのみに限定するなどの対策が有効です。
※ホームページへのアクセスも出来るようになっているものが多いため、確実性が高まります。

google先生なんかもURLフィルタを可能な限り差し込んではいますが、PC向けの製品などのような自在性はなく一歩劣る、言い方を変えればユーザマターになっている状況ですので、特にフィッシングには敏感にアンテナとセンサーを立てておきましょう。

また訳の分からないDMやメール、メッセージなどのURLを安易にクリックせず、まずは相手の素性などを確認し、疑わしい場合は放置・削除。
確認が取れたものだけアクセスすることを心がけてください。

③パスワードの漏洩

事例：
パスワードをスクリーンショットやメモアプリで保存。
その画像やテキストデータがクラウド上にバックアップとして上がっており、クラウドからもろもろ流出。

対策：
そもそもパスワードの管理に関して知識を持ってもらう必要があります。
セキュリティ屋からすると、各種メディア等で言われている方法はおすすめしないケースもあるため、順を追って記述します。

A：パスワードの作成・管理ポリシー

まずはパスワードの作成に関してです。
一般的には「パスワードはそれぞれの登録ごとに別のものを」、「一定期間ごとに変更を」などが発信されていますが、個人的にはこの手の手法はパスワードの強固さを損なうと考えています。
まず「登録ごとに別のものを」ですが、1件や2件であればそれでもいいと思います。
ですが、やれメール、SNS、銀行etc…と増えるとすぐに数十件近いものに肥大化していきます。
これらのパスワードを個別に管理していく・・・というのは個人の裁量範疇を超えており、セキュリティの"理想"と運用の"現実"における乖離の最たる事案だと考えています。
セキュリティの理想と運用の現実が乖離する問題に関しては別の話題になるため詳しく触れませんが、基本的に業界や技術的な課題として常について回るため、多少の妥協や回避策が必要になる事が多いとだけ。

結論から言うと
・パスワードはコンテンツや重要度、領域レベルで分別した方がいい。
・パスワードを一定期間で変更していくような運用はやめたほうがいい。

まずパスワードの分別ですが、重要度や用途が似ているものは同じパスワードをある程度は流用しても問題ないというスタンスです。

イメージ的には下の図のような感じ。
重要度が高いものはできるだけパスワードを分けたほうがいいですが、低いものはある程度同一のものが膨れ上がっても問題はないと思います。
※漏洩しないに限ったことではないですが。

またパスワードの内容も重要です。
a.言語性がない
b.法則性がない
c.英数字記号、大文字小文字の混合
d.できるだけ長く・複雑に
これらをしっかり守って作成しましょう。

一定期間の変更に関しては「気が向いたら」くらいに思えばいいです。
縛りをつけると確実に作成の強度が落ちたり同一化が増えます。
期間での変更は管理も杜撰になっていく事例が少なくないので、漏洩リスクなどがある場合などピンポイントで変更をするほうが結果的にパスワードを強固にしてくれます。

B：パスワードの保管ポリシー

a.紙での保管
b.メモアプリやSNSアプリのメモ機能での保管
c.画像での保管
d.記憶での保管
e.おすすめの保管方法
概ねこれらが想定される保管方法ですが、a~dはNGとだけ。
セキュリティ屋の観点からすると、基本保管は「漏洩リスク」「紛失リスク」「運用負荷」の観点で評価をし、最も評価が悪くないものを選ぶ方がよいと考えます。
※残念ながら完全性や絶対は求めることが難しく、時流やツールによって変わってきます。

a.紙での保管：×
漏洩リスク：△　
目視できるレベルのサイズ感だと覗き見などのリスクはある
紛失リスク：×
水や火、汚れや破損に弱い
運用負荷：×
都度目視入力になるため、パスワードの強度によって手間になる

b.メモアプリやSNSアプリのメモ機能での保管：△
漏洩リスク：×
アプリの提供元やクラウドでの保存にリスクがあり、
バックアップデータの漏洩リスクも少なからずある
紛失リスク：△
端末自体の紛失や削除、故障などはリスクとしてある
運用負荷：〇
コピーなどでの使用ができるため、運用面での利便性は高い

c.画像での保管：×
漏洩リスク：×
クラウドでのバックアップなどによって漏洩する可能性があるほか、
不正アプリなどにより画像を外部転送された場合にも漏洩することがある
紛失リスク：△
端末自体の紛失や削除、故障などはリスクとしてある
運用負荷：×
基本画像を参照しての手打ちになるため、紙と大差がない

d.記憶での保管：×
漏洩リスク：〇
頭を覗くことは物理的に無理なため、声に出して読み上げとかしなければ
紛失リスク：×
確実に数が増えれば忘れますので、瞬間記憶ができない一般人にお勧めはしません
運用負荷：×
基本記憶を参照しての手打ちになるため、紙と大差がない

e.おすすめの保管方法：〇
漏洩リスク：〇
オフライン且つ使用時のみ閲覧の為、物理的管理ができれば問題ない
紛失リスク：△
火災や水には弱いが、分散化や保管方法でリスク軽減が可能
運用負荷：〇
都度コピーできるため利便性が高い

ではおすすめの保管方法の説明をご説明します。

そうです。「USBメモリ」です。
なんで？？と思う方もいるかもしれませんが、これに勝る保管方法は現状ないと考えています。
特筆すべき点はType-AとType-Cのコネクタが両立していること。
PCでも使用ができ、スマホでも使用が可能な点です。
※ただしiPhoneの場合は別途変換アダプタが必要になります。

基本的な運用手順ですが
1.PCやスマホのExcelなどでパスワード一覧を作成
※こちらは個人の裁量です。
私の場合は用途やIDなんかも一部まとめてますが、IDやURLなどはあまり記載しない方がよいです。万一紛失した場合に識別子とパスワードが結びつかなければ、一定時間変更のための時間を稼げます。
分かっているものは記載しないでぼかす位がちょうどいいです。

2.エクセルのまま、もしくはPDF出力してUSBに保存
※Excelの方が可用性はあります

3.使用時に都度USBにアクセスし使用
※端末に保存はしないようにしましょう。

また１点注意ですが、スマホ版のExcelアプリで読み込むのはおすすめしません。
自動保存でMicrosoftのクラウドストレージ上や端末に保存されてしまうことがあるため、必ず使用後削除する手順が追加になります。
個人的にはgoogle スプレッドシートのアプリをストアからダウンロードしておき、そちらを起動に用いることで"端末に保存させない"、"クラウドに保存させない"運用が現状可能です。
※2023/7月時点

USBの選定に関してですが、
・ストラップホール付などを可能であれば選ぶ
※私はストラップがないタイプを使用していますが、持ち歩き用は鍵などにつけられる小銭入れに入れて保管しています。
外出時に確実に身に着けていて、紛失すると不味い上に取り回しが良いものをお勧めします。スマホのストラップとして括りつけるのもアリです。

・国内メーカ製など担保の取れているものを買う
中国メーカー製や中古品はお勧めしません。
悪意のあるツールなどが仕込まれている場合、逆効果になりうるためです。

・複数台用意する
基本2~3本に分散し、外出先でも使う可能性のあるもの用・家庭内用・バックアップのような形で分けることをお勧めします。
特にNFTなどをたしなむ方の場合、秘密鍵やシードフレーズは別ファイルとして保存し、持ち歩かないUSBに保管することをおすすめします。
※パスワードは最悪変更可能ですが、シードや秘密鍵は変更できない場合があるためです。

C：自動パスワード入力機能の管理

私もよくスマホの自動パスワード入力機能を使います。
凄く便利ですが、同時に複数のパスワード情報を常に端末やgoogle、appleに握らせているということにもなります。
しっかり「どのパスワードは自動入力OKになっているのか」などは把握し、
都度削除などの管理を行ってください。
モノによっては敢えて自動入力を切って、USB側からコピーしてくる運用を行う方が安全性を高められると思います。

私の場合、どうでもいい捨てに近いアカウントなどは自動入力、口座系やウォレット系などの重要度の高いものは敢えて自動入力から外しています。
一度棚卸をすることをおすすめします。

ex.アップデートと買い替えの推奨

これに関しては蛇足だとは思います。
個々の経済状況などにもよるため"推奨"レベルに考えていただきたいです。
まず、アプリケーションやスマホのシステムアップデートは適宜実施してください。
システムアップデートは不具合も少なくないため必須というのには無理がありますが、確実に脆弱性などに対する対処も含まれているためリスク軽減のためにある程度実施が必要です。

また、型落ちのスマホ。
特に数年単位で古くなっている端末の場合、アップデートなどのサポートが終了しており、脆弱性などに対する対応力も弱まっている部分はあります。
※PCのOSなどほどではないですが。
そのため、定期的に無理のない範囲で買い替えることをおすすめします。
特にNFTや投資などで利用する方は"経費"として計上することも可能なケースがあるため、よく吟味したうえで検討されるのもアリだと考えています。

さいごに

正直なところ、セキュリティ事案は年々増加しており巧妙化しています。
上記にの対策などで"完璧"かと言われるとNOと言わざるを得ないと考えています。
長らく対策方法は周知・発信されてきていますが、それでも同じ手や見た目を変えただけの古典的なものに引っかかる事例は後を絶たず、セキュリティ知識の定着は追い付いていないように思います。

今やスマホは切っても切り離せないツールとなり、ネットバンキングや仮想通貨の広がり、ウォレットサービスの発展により個人の資産としての価値は非常に高くなっていると言えます。

それぞれが常に過信せず慢心せず、正しい知識や心構えをもっていくことで不幸な事案は減っていくと考えています。
少しでもこの記事が参考になれば幸いです。