Dr.セキュリティ®

【新サービス】脆弱性診断(セキュリティ診断)のサービスを受注開始しました
→ 費用を抑えるコツの記事も公開中です

社名変更のお知らせ - 旧社名:LTセキュリティ から、新社名:Dr.セキュリティ へ変更しました

ホワイトハッカーが教える
スマホのハッキングの実態と対策

スマホはパソコンに比べるとハッキングされにくい仕様になっています。
しかしそれでも完全無欠なセキュリティを維持するのは難しく、ヒューマンエラーなど「運用上の問題」が狙われたり、脆弱性を突くサイバー攻撃などによりハッキングされるリスクがあります。

そのためスマホの使用者がリスクを留意せず「のほほん」としているのは良くないので、基本的なセキュリティ対策と、万が一にハッキングされてしまった場合の対応に関して当ページでご説明します。

この記事を書いた人

Dr.セキュリティ®
代表技術者 冨田 圭介

DFプロ認定資格保有
① CDFP-B(基礎資格)
② CDFP-P(実務者資格)
冨田 圭介

当記事の信憑性鮮度

【鮮度に関して】

当記事は2024年4月現在における傾向などを記載しております。スマホのハッキングに関しては情報の鮮度がとても重要なポイントなので、「これは2024年4月時点の情報だ」とご留意のうえお読み下さい。
なお、当ページの内容は状況の変化に応じて適宜更新する方針でおります。

【信憑性に関して】

これを書いている私は『デジタル・フォレンジック』という分野を専門とし、認定試験を受けて専門資格CDFPシリーズのPractitioner(実務者)という資格を取得し、下記のような調査業務をおこなっております。

  • 企業の業務端末およびITシステムのセキュリティに関する調査
  • 情報漏洩事故の原因解明、被害状況確認等のフォレンジック調査
  • 裁判におけるデジタル証拠の収集や立証のためのフォレンジック調査
  • デジタル機器のセキュリティ診断やマルウェア感染確認のための簡易調査
このような調査業務を10年以上おこなっており、これまでに1000台を軽く超えるスマホ関連事案に対応し、その経験に基づいて当記事を書いております。

【 よくある質問 】
スマホがハッキングされることなんて、本当にあるの?

【回答】
はい。あります。

政府関係者を狙うような高度なハッキングを一般のユーザーが受けてしまうことはほぼ無いですが、しかし、もう少し低いレベルのハッキングならば結構よくあります。
なにせ、インターネットの負の側面とでも言いますか、ハッキングのやり方やツールなどが流通していますし、そそのかしたり入れ知恵したりする悪いやつも沢山いますし。

ハッキングの手口に合わせた対策が必要

スマホのハッキング対策において、これをやれば万事OKという「究極の一手」はありません。一口にハッキングと言ってもその手口はとても様々な種類がありますので、たった一つの対策方法では全てのハッキング手法を防ぐことができないのです。手口ごとに合わせた対策が必要、つまり複数の対策を重ねる必要があります。

当ページではスマホのハッキング手口として多い4つの類型をご紹介し、それぞれの類型に合わせた基本的な対策方法をご説明します。よくある手口の殆どは基本対策だけでもブロックできますので、是非この基本対策をおこなって頂きたいです。

※注意※ 既にハッキングされた後という場合

既にハッキングされた後ですと、機器やネットワークの中に潜伏され続けるというケースが多いです。

認証情報を窃取された
 → 空き巣に玄関ドアのスペアキーを盗まれたような状態です。

セキュリティを破壊・改竄された
 → 空き巣に窓を壊されて侵入経路を作られたような状態です。

永続的なマルウェア(ウイルス)に感染させられた
 → 空き巣が屋根裏や押入れに潜んでいるような状態です。

一旦侵入されて上記のような状態になると、その後は攻撃者がオンラインで自由に機器/ネットワークへ出入りできますし、その場合は基本的なセキュリティ対策だけでは状況を改善できない可能性が高いです。

『空き巣がスペアキーを持っているのに、玄関ドアを施錠しても意味がない。』
というようなイメージです。

そうなると基本的な対策だけでは足りず、経緯、原因、被害状況などの調査も検討するべきとなります。当ページではまず先に「ハッキングされる前の対策(予防策)」をご説明しますが、その後に「ハッキングされた後の対応の流れ」を続けてご説明しますので、ぜひ最後までお読み頂けたら幸いです。

スマホのハッキング手口の4類型

【1】直接ハッキング

『スマホを直接触られてハッキングされる』という類型です。
本人が寝ている間などにこっそりと監視アプリ等のマルウェア(ウイルス)を仕込む、というケースが過去に流行った時期がありました。2024年4月現在では監視アプリ等の入手・使用が以前よりも難しくなったため被害件数も減っています。
ただし各種の認証情報(ID・パスワード)を盗み見られるケースは今も相変わらず多く、それを発端に後述する「4,関連機器から展開」に繋がることもあります。

【2】遠隔ハッキング

『インターネットなどを経由してハッキングされる』という類型です。たぶん皆さまが一番恐れているものだと思います。
様々な手口があるのでここには詳細には触れず、後述する対策の項にて説明します。

【3】製造時ハッキング

この類型には2つの意味があります。

  1. スマホの製造時にマルウェア(ウイルス)などが仕込まれるケース。
  2. スマホのアプリ開発時に悪意のコードが紛れ込み、それに気付かれないまま提供・配布されてしまうケース。

上記1番はかなり例外的です。海外では実際にこれが起こってしまったケースもあるようですが、日本のケータイショップで販売されているスマホに関する事例は聞いたことがないので、個人的にはそれほど恐れなくて良いと思っております。

しかし上記2番は注意が必要です。これまでに時々発生していますし、さらに今後に増える可能性に関してセキュリティ業界では懸念されています。

【4】関連機器から展開

『スマホ以外の機器がハッキングされ、その悪影響がスマホに及ぶ。』という類型です。
当社が担当した事案に限った話しですが、2020年頃からこの4番の割合が多くなっています。
最近のスマホは比較的にセキュリティが強いため攻撃者から見ると「ハッキングがやりにくい」のですが、スマホ以外の箇所、例えばパソコン、ルーター、クラウドなどは脆弱性や設定不備などの問題を抱えたまま運用されていることが多く、そこが突破口となってしまいスマホにも被害が連鎖するケースがあります。

類型1 直接ハッキングの対策

【1】直接ハッキング
対策を講じるためには、まずは直接ハッキングの手口を知る必要がありますので、よくある例を先にご説明します。なお、ハッキングおよび情報窃取の具体的なやり方を書くと悪用されかねないので、詳細は省略してザックリとした例を示します。

Androidの直接ハッキングの例

  1. 監視アプリ、ストーカーアプリなどといった悪意のプログラム(マルウェア)をインストールする。
  2. Androidスマホが同期するクラウドの認証情報を端末から盗み出し、別のAndroidスマホをクラウドに不正同期する。
  3. Androidスマホのバックアップを取得し、別のAndroidスマホにリストアする。
  4. Androidスマホが同期する別端末(タブレットや過去のスマホ等)を探索し、その別端末を悪用して情報窃取する。

iPhoneの直接ハッキングの例

  1. 監視アプリ、ストーカーアプリなどといった悪意のプログラム(マルウェア)をインストールする。
  2. iPhoneが同期するクラウドの認証情報を端末から盗み出し、別のiPhoneをクラウドに不正同期する。
  3. iPhoneのバックアップを取得し、別のiPhoneにリストアする。
  4. iPhoneが同期する別端末(iPadや過去のiPhone等)を探索し、その別端末を悪用して情報窃取する。

スマホを他人に触らせなければ良いのですが・・・

直接ハッキングはスマホを直接操作しておこなうことですので、当然ながら他人にスマホを触らせなければハッキングされることもあり得ないです。つまり他人が一切触らないように対策すれば良いだけです。しかし実はそれ、案外難しい状況にある人も少なくないです。

  • 恋人や配偶者による監視。
  • 学校のクラスメートによるいたずら、嫌がらせ。
  • 職場の同僚によるプライバシーの覗き見。
このように身近な者が何かを目論んでいる状況においては、寝ているとき、離席時、業務上の理由でスマホを預けたときなど、隙をついてこっそり触られてしまうおそれがあります。
ちなみに素人がそんな簡単にハッキングできるのかと疑問を感じる方が多いかと思いますが、ネットを調べまくれば簡単なハッキングなら中学生でもできるようになりますし、世の中には入れ知恵する悪いやつもいっぱいいますので・・・

また近い将来では、以前に流行した監視アプリやストーカーアプリなどのような悪質アプリが再燃することも懸念される状況です。(これに関しては次項「遠隔ハッキングの対策」の中で説明します)
話が少しそれましたが、「なにがなんでも覗き見たい!」という異常な執着心を原動力としてネットを調べまくってハッキング方法を覚えたり、誰かに入れ知恵されたりということが結構あるので、「ハッキングなんてあり得ない」と高を括るのは避けたほうが良いです。

基本対策に関して

「他人にスマホを触らせない」というのが大前提ですが、ここではその大前提を不運にも突破されてしまった状況を想定して対策方法を説明します。重要な点は2つあり、まず一つは「ロックを解除させないこと」で、もう一つが「同期クラウドの認証を突破させないこと」です。

対策① ロック解除させない

  • 指紋認証は使わない。
  • 顔認証がおすすめ。ただし「注視」や「目を開く」など認証精度を高める設定を有効にすること。
  • ロック解除のPINコードやパターン認証を入力するときは、必ず他人に見られないようにすること。

対策② 同期クラウドの認証を突破させない

ここでいう同期クラウドとは、Androidスマホの場合は「Googleアカウント」、iPhoneの場合は「Apple ID」を指しています。

  • パスワードを他人が推測できない文字列に変更する。
  • 二要素認証(二段階認証)を必ず有効にする。
  • 当該アカウントのパスワードをブラウザやパスワード管理機能に保存せず、もしすでに保存されている場合は削除する。
  • 使用しなくなった過去の端末はログアウトする。

特に注意すべきこと

ロック解除のPINコードやパターン認証を突破されるのが一番痛いですし、しかもそれは身近な人に横目で見られやすいものです。ひどい場合はPINコードを入力している姿を「隠しカメラで撮影する」ということもあるらしいです。意外と突破されやすいものだとご留意ください。

余談

当社にスマホの調査をご依頼頂く個人のお客様の傾向を見ますと、下記のような弱いセキュリティ状態となっている割合が結構多いです。

  • PINコードが弱い(生年月日など)
  • 同期クラウドのパスワードが弱い(ニックネームや生年月日など)
  • 二要素認証が無効になっている
  • 同じパスワードをあちこちで使いまわしている
統計は取っていないのですが、感覚的には半分ぐらいのお客様が上記のような状態です。
平成の頃から色々な企業・団体が注意喚起をおこなってきましたが、令和の現代でもいまだに改善できていない人が結構います。パスワード等に生年月日を用いるのは即座に止めたほうが良いですし、二要素認証も必ず有効にしたほうが良いです。

類型2 遠隔ハッキングの対策

【2】遠隔ハッキング

遠隔ハッキングの手口の例

この類型では色々な手口がありますが、よく話題になるものを例示します。

  1. 悪意のメールやSMSからマルウェア(ウイルス)に感染する。
  2. 知人・友人や、仕事の取引先、よく使うお店などに「なりすまし」たメールやSNSのDMからマルウェアに感染する。
  3. 既にハッキングされている知人・友人のアカウント(SNSなど)からサイバー攻撃が飛び火してくる。
  4. よく閲覧するWebサイトが乗っ取られ、そこからサイバー攻撃が飛び火してくる。
  5. フリーWi-Fiに関連する中間者攻撃によりサイバー攻撃を受ける。
このほか、非接触&ゼロクリックでいきなりスマホがマルウェア感染する、つまり知らない間に勝手に感染するという手口もありますが、それは政府関係者などを狙う非常に高度なハッキングのため極めて稀なケースですので、ごく普通に暮らしている民間人はそれほど不安視しないで大丈夫だと思います。

一般的な人が特に注意すべきは上記2番・3番だろう、というように当社は考えております。もちろん1番・4番・5番も注意が必要ですが、それらは2番・3番に比べるとリスクはそれほど高くないです。例えば1番「悪意のメール等」の手口は周知が進んでいるため既に多くの人が気をつけていることでしょう。また4番「Webサイト乗っ取り」はパソコンが被害を受けるケースは昔からよくありましたがスマホの事例はあまり聞かないので、今のところ被害を受ける確率は低いように思います(2024年現在の話ですが)。5番「フリーWi-Fi」は2010年代にかなり話題になりましたし、過去には私も目の当たりにしたことがあるのですが、ここ数年は実例を聞かなくなりました。
このように1番・4番・5番はリスクが少ない状況ですが、しかし2番・3番のように知人・友人が関係するものの場合、結構うっかり食らっちゃうことが多いです。

例えば知り合いから、もっともらしい内容のメッセージとともにURLやファイルなどが送られてきたら、うっかり開いてしまいがちです。実際、当社がこれまでに受けてきた相談(個人のお客様からの相談)では、知人・友人などに関係するケースがかなり多いです。
『知り合いからメールが届いたのだが、その知り合いは送っていないと言っていて…』とか、
『自分のSNSが乗っ取られて、知り合いに変なDMを送られちゃって…』など。

基本対策に関して

この記事を書いている2024年4月現在では、遠隔ハッキングの基本的な対策方法はAndroidとiPhoneで少し違います。Androidはアプリ配布やインストール等の要件(以下「アプリ関連要件」と言います)がそれほど厳しくなく、逆にiPhoneはその要件がかなり厳しいという違いがあり、それにより両者の遠隔ハッキングの手口は異なるため対策も少し違うのです。

しかしながら、今後はiPhoneもAndroidのようにアプリ関連要件が緩まることが決まっています。分かりやすく喩えると「規制緩和」というようなイメージです。現在のiPhoneはApple公式のApp Storeでなければアプリをインストールできないように制限されていますが、今後はその制限が緩まり、App Store以外からのインストールも可能になります。そうなるとセキュリティに問題のあるアプリ、例えば過去に流行った監視アプリやストーカーアプリのようなものが一般のユーザー層に再び出回ってしまう可能性があり、それに伴ってAndroidと似たようなハッキング手口が流行する恐れもあります。そのため以下に書く遠隔ハッキングの基本対策は、今後のことを考えてAndroidとiPhoneを区別せずに説明することとします。

対策① 脆弱性を埋める

脆弱性とはセキュリティの欠陥を意味する言葉です。
脆弱性 ≒ 侵入口 というようにイメージしてください。
※厳密に言うと上の表現は正しくないのですが、わかりやすさを優先しております。

ハッキングのセオリーは脆弱性を狙ったエクスプロイト攻撃であり、そのハッキングが実行されるとスマホを乗っ取られます。脆弱性と聞いてもピンとこない人が多いと思いますが、実はとても恐ろしいものなのです。そして脆弱性は次から次へと新しいものが発見され続けていますので、セキュリティを維持するためには新しい脆弱性が見つかる都度に埋めていく必要があります。
脆弱性の埋め方は「アップデート」です。
スマホの脆弱性のほとんどはOSやアプリのアップデートによって改善することができます。(例外的に改善できない脆弱性もありますが、それは「対策②」にて説明します。)

対策② 新しいスマホを買う

新しもの好きの人はスマホをよく買い替えますが、そうでない人は壊れるまで使い続けることも多いと思います。物を長く大事に使い続ける、それは個人的に賛成したい気持ちが強いのですが、しかしサイバーセキュリティの観点で言うと古くなったスマホを使い続けるのはかなり危ういことです。
その理由は2つあります。

  1. OSやアプリをアップデートできなくなる。
  2. 部品の脆弱性のリスクが生じうる。
一つ前の説明で脆弱性はアップデートで埋められることを書きましたが、スマホが古いと最新版のOSやアプリにアップデートできなくなるという問題があります。また、OSよりも更に深い層にある部品関連(ハードウェア/ファームウェア)の脆弱性が見つかることもありますが、あまり古い部品だと改善のためのセキュリティパッチが提供されない恐れがあります。このようにセキュリティ面での寿命のようなものがありますので、古いスマホを使い続けるのはリスキーなのです。

「何年で買い替えるべきか」について、メーカーおよび機種ごとに異なるので一概に何年と決められているわけではないのですが、一般的には下記の期間が経過したら買い替えを検討すべきとされています。

  • Androidスマホの場合、3年ぐらい。
  • iPhoneの場合、5年ぐらい。

対策③ メール等の真偽をまず疑う

既にご説明しているとおりメール、SMS、SNSのDMからマルウェア感染するケースが多いので、メール等のURLや添付ファイルを無闇に開くのは危険です。URL等を含むメールが届いたら真っ先に、「これ本当にあの人が送ったもの?」と疑うようにしたほうが良いです。そして、真偽の見分けがつかない場合は送り主に電話で聞くとか、メールや添付ファイルをパソコンにコピーしてウイルススキャンするなどした方が良いです。

ところで、こんなことも結構よくあります。
『なりすましメールのリスクを知っていたけれど、でも電話していちいち確認を取るのは面倒だし、ついつい「えいやっ!」と開いちゃった。』

普段は慎重な人でも忙しい時には大胆になったり、あるいは送られてきたタイミングによってはうっかり開いてしまいがちです。このように対策③を徹底できるかどうかは結構あやふやですので、自信がない場合は、次の対策④も合わせてご検討頂いたほうが良いです。

対策④ 有料のウイルス対策アプリを使用

危険なメールやWebアクセスをブロックする機能を持つウイルス対策アプリをインストールしておけば、「うっかり誤操作」によるマルウェア感染を予防する効果があります。
日本では下記3つの製品が人気です。

  • トレンドマイクロの「ウイルスバスター」
  • キャノンの「ESET」
  • シマンテックの「ノートン」
※注意※
無料のウイルス対策アプリはお勧めしません。無料のものの中にはほとんど役立たずなものや詐欺アプリなども存在します。
「無料のものでも、無いより有ったほうがマシかも?」とは思わないほうが良いです。攻撃者はそのような心理を織り込んで詐欺的な無料アプリを配布しています。

類型3 製造時ハッキングの対策

【3】製造時ハッキング

基本対策に関して

前述したように「スマホ製造時」または「アプリ開発時」にマルウェア(ウイルスが)仕込まれるという手口であり、ここではそれらを分けて対策方法を説明します。

スマホ製造時ハッキングの対策

  • 格安スマホ
  • よくわからない海外メーカーのスマホ
これらを買わなければよいです。
スマホ製造時のハッキングは、マルウェア(ウイルス)に感染している半導体部品がスマホに組み込まれるとか、製造時にマルウェア感染することによって起こります。日本国内の例を聞いたことはないのですが、海外では実際に起こってしまったケースがあるようです。また、スマホではなくUSB機器では過去に日本国内でも起こってしまったことがあります。
このようなケースは製造時の品質管理やメーカーのセキュリティレベルによるところが大きいのですが、スマホメーカー自体に問題がなくても、スマホメーカーが仕入れている「部品」の製造メーカー側に問題があるケースも考えられるため、どんな部品が使われているのか分からない格安スマホほどリスキーだと言えます。

Web通販で海外製の格安スマホが売られていますが、そのような物は避け、それなりの金額がするメジャーな機種だけを購入対象とするのが無難です。
また、海外製のスマホはハッキングうんぬんの以前に、電波法や技適の関係で国内での使用が禁止されている物も沢山ありますので、その点からも、日本のケータイショップでメジャー機種を買うのが良いと思います。

アプリ開発時ハッキングの対策

  • アプリ開発者が悪意を持って、アプリに不正コードを仕込んで配布する。
  • アプリ開発者に悪意はなく、意図せず不正コードが紛れ込んだまま配布される。
このようなことは製造時よりもずっと起こりやすく、実際のケースも様々あります。またこれは海外に限った話ではなく、日本人向けのアプリでも過去に起こってしまったことがあります。

対策に関して、有名ではないアプリをインストールしないようにするだけでもこの被害を避けることができそうですが、より効果的なのは「有料のウイルス対策アプリをインストールしておく」です。
スマホは仕様上の理由からアプリのファイルをユーザーが検証するのが難しいので、ウイルス対策アプリを頼るのが良いです。それをインストールしておけばマルウェアが混入したアプリをブロックしてくれる確率は高いです。
「色々なアプリを試したい」と冒険的な使い方をする人はウイルス対策アプリを入れておくべきです。

類型4 関連機器等から展開されるハッキングの対策

【4】関連機器等から展開されるハッキング

この手口の例

  1. スマホが同期するクラウドに不正アクセスされ、その影響がスマホに及ぶ。
  2. スマホと繋がる別の機器(パソコン等)がハッキングされ、その影響がスマホに及ぶ。
  3. スマホがWi-Fi接続するルーターがハッキングされ、その影響がスマホに及ぶ。
この例のようにスマホと関連する機器等が先にハッキング被害を受け、そこから展開してスマホの情報漏洩等が起こることがあります。

対策1,同期クラウド

ここで言う同期クラウドとは、Androidスマホの場合はGoogleアカウント、iPhoneの場合はApple IDをイメージして下さい。スマホはデータや設定などがスマホの中だけに有るのではなく、同期クラウドにも自動的に同期やバックアップされていることが多いです。その状態で同期クラウドが不正アクセスを受けると、スマホの中と同じデータを覗き見できてしまいますし、逆に同期クラウドに不正なデータをアップロードするとスマホにもそれが反映されていまいます。
そのような不正を防ぐためには、同期クラウドに対する不正アクセスを防ぐ設定をおこなうと良いです。

  • パスワードを他人が推測できない文字列に変更する。
  • 二要素認証(二段階認証)を必ず有効にする。
  • 当該アカウントのパスワードをブラウザやパスワード管理機能に保存せず、もしすでに保存されている場合は削除する。
  • 使用しなくなった過去の端末はログアウトする。

対策2,スマホと繋がる機器

パソコン、タブレット、スマート家電など、同じアカウントや同じネットワークでスマホと繋がる機器は様々あるかと思います。パソコンなどはスマホよりもハッキングされやすい物ですので、まず先にそれらがサイバー攻撃を受けて侵入され、そこから更に攻撃が展開されてスマホに影響が及ぶケースがあります。
例えば次のようなことがあります。

  • パソコンがハッキングされてブラウザに保存されているパスワード等が漏洩し、そこから同期クラウドに不正アクセスされてスマホに影響が及ぶ。
  • セキュリティの弱い家電がハッキングされてネットワーク侵入(家庭内LANに侵入)され、そこからWi-Fiルーターに不正アクセスされてスマホにも影響が及ぶ。
例を上げるときりがないのでここでは省略しますが、上記のようにスマホ以外の機器に対するハッキングの影響がスマホにも及んでしまう可能性があるので、スマホだけ気をつけていれば良いのではなく、同一のアカウントやネットワークにある機器のセキュリティも維持する必要があります。

パソコンやスマート家電などのセキュリティに言及すると話が無限に広がってしまうためここでは詳細を省略しますが、基本的にはスマホと同様に各機器においても脆弱性、パスワード、メール等に気をつけて運用して下さい。

対策3,Wi-Fiルーター

ルーターがハッキングされるとスマホに限らずLAN内のあらゆる機器がサイバー攻撃の対象となりうる恐れがあります。ルーターのセキュリティ対策に関しては「Wi-Fiルーターの乗っ取りの実態と対策」というページでかなり詳しく説明しておりますので、こちらも合わせてお読み下さい。

スマホがハッキングされたとき

不運にもスマホがハッキングされてしまった場合にどうしたら良いか、それは一概に「こうすれば良い」と言えることではなく、状況や目的によってやるべきことは異なりますが、とても重要なことを先にご説明します。

  1. いきなり初期化は絶対ダメ
  2. 仕事用スマホの場合は対応を慎重に!
  3. 警察のサイバー犯罪相談窓口に相談する
上記の3つの重要事項に関して、次からそれぞれ説明します。

1.いきなり初期化は絶対ダメ

初期化 = 最悪の一手 だと思って下さい。
スマホを初期化すると、スマホの中にある証拠は全て消えてしまいます。
ハッキングされた恐怖から慌てて初期化してしまう人が時々いますが、そうしてしまうと何が原因でどのような不正・被害があったのかを後から知ることが不可能となり、関係者への説明責任を果たせないですし、セキュリティ対策を計画するのも難しくなります。

2.仕事用スマホの場合は対応を慎重に!

平たく言うと被害は連鎖します。近年のサイバー攻撃の特徴として、一つの機器が被害を受けるとそれに関連する別の機器にも被害が及んでしまうケースがよくあります。スマホを発端として、仕事で用いるITシステム、他の社員、顧客や取引先にも被害が拡大するおそれがあります。
そのため当てずっぽうに誤った対応をすると後から責任問題に発展してしまうので、会社のシステム管理者に相談するとか、当社のようなセキュリティ専門会社にご相談されたうえで、適切な「インシデント対応」(情報セキュリティの事故対応)をおこなう必要があります。

3.警察のサイバー犯罪相談窓口に相談する

詐欺師によるハッキングや脅迫など、警察は「流行りの詐欺手口」をよく知っていますので、まずはそのような手口に該当するかどうか確認するために警察のサイバー犯罪相談窓口へ相談すると良いです。もし詐欺に該当する場合は警察から適切なアドバイスを受けられるはずです。

ただしサイバー犯罪とは別の部署の警察官に相談した場合は、親切心から善意で「初期化すれば直るはずですよ」とアドバイスされることが時々あります。しかし前述の通り初期化はインシデント対応の観点からすると最悪の一手になりますので、もし非専門の方から初期化を勧められても一旦は留保して下さい。

状況別の対応の流れ ①
私物スマホがハッキングされた場合

初期化はダメ!

前に述べたことの繰り返しになりますが、慌てて初期化するのは最悪の一手ですので絶対にやめてください。

1.通信を遮断する

  • 電源はONのままを維持する
  • 機内モードを有効にする
  • Wi-Fiを無効にする
  • Bluetoothを無効にする
このようにして外部との通信を遮断すれば、その時点からの遠隔操作や情報漏洩を食い止めることができます。ただし既に重要情報が盗まれてしまっている段階でいまさら通信を遮断しても「後の祭り」とも言えます。そのため、上記のように通信遮断するのは原則ではあるものの、例外的に、もしどうしてもスマホを使わなければならない用事がある場合には各自の判断によるこことなります。

2.アカウントサービスに対する不正アクセスの確認

Googleアカウント、Apple ID、SNSや通販サイトなど、各種のアカウントサービスのID・パスワードが盗まれて不正アクセスされることがあります。アカウントサービスから「ログイン通知」などのメールやSMSがスマホに届いていないか確認して下さい。

3.家族・友人に対する被害拡大の確認

ハッキングされて乗っ取られたスマホやアカウントが起点となり、家族・友人に対して攻撃用のメールやSMSが発信されることがあります。ご家族やご友人に不審なメールなどが届いていないか確認して下さい。

4.パソコン/タブレットの確認

ご自宅のパソコンやタブレット端末にも影響がおよぶ可能性があります。パソコンのウイルス対策ソフトが警告メッセージを出していないか、タブレットの通知に異常なメッセージがないか確認して下さい。

もし上記2~4のいずれかで異常がある場合

この場合はハッキングの被害がスマホだけに留まっていない可能性があることとなります。ということは当該スマホだけを処置するのでは足らず、他の侵害箇所にも何らかの対処が必要となりますので、もしそれらの異常が確認された場合には当社の調査サービスのご依頼をご検討下さい。

上記2~4の異常が無い場合

時間差で被害拡大するケースもあるので2・3日は様子を見たほうが良いです。
もしそれでも異常が無い場合は、不幸中の幸い、被害はスマホだけで留まっていると考えられるので、対処するのも当該スマホだけで足りそうです。
当社で調査して原因や被害状況を確認することができますが、それには安くない調査費用がかかりますので、スマホを買い替えてしまったほうが安上がりで手っ取り早いようにも思います。

補足(けっこう重要)

上記2~4で異常がある場合も、無い場合も、ハッキングで盗まれた個人情報などが「ダークウェブに流出する」というケースがあります。その場合、攻撃の第2波とでも言いますか、だいぶ後になってから再びハッキング被害を受けるおそれがあります。最初の攻撃者とは違う者・違う手口でハッキングされることもあります。
そのようなリスクに対処するため、ダークウェブに個人情報などが流出していないか調べる「ダークウェブ調査」をご検討頂いたほうが良いかも知れないので、詳しくはご相談下さい。

状況別の対応の流れ ②
仕事用スマホがハッキングされた場合

1.個人情報保護委員会に相談

ハッキング被害を受けると高確率で個人データ(個人情報)が盗まれます。そして事業者が保有する個人データがハッキングで漏洩した場合は、個人情報保護委員会に報告しなければならないと法律で定められています。

  • 会社はもちろん、フリーランス(個人事業主)にも報告義務があります。
  • ハッキングの場合は1件でも漏洩したら該当します。
  • 漏洩したことが確定しておらず、「漏洩した可能性がある」という場合でも報告は必要です。
  • 報告は2回です。1回目は速報(3~5日以内)、2回目は確報(ハッキング等の場合は60日以内)
確報はきちんと調査してからおこなうものですが、速報はその時点で分かっていることを報告するものとなります。速報の期限は3~5日が目安であり時間的な猶予はそんなにありませんので、会社にお勤めの方の場合はすぐにシステム管理者等へ相談してください。また、経営者やフリーランスなどの場合は個人情報保護委員会にどうしたら良いか問い合わせてアドバイスを受けて下さい。

2.なるべく早めにフォレンジック調査をご依頼下さい

個人情報保護委員会への確報は、ハッキング事案の場合60日以内におこなうこととなります。60日と聞くと少し余裕があるように感じるかも知れませんが、それは誤解です。

まず、調査会社を選んだり見積を取ったりする必要があります。急いでいるからと言ってコストを度外視するわけにもいかないでしょうし、過剰調査にならないよう、かつ不足もないよう、「丁度いい内容の調査」を計画するために調査会社との打ち合わせにも時間がかかります。その後の稟議などもあるでしょうし、実際に調査が始まるまでそこそこの日数がかかるはずです。

そして、確報のためのフォレンジック調査はそれなりに時間を要します。スムーズに進めば2週間以内に調査は完了するはずなのですが、しかしスマホはパソコンよりも調査が難しい物ですので、想定外の要因によって調査が難航する可能性があります。
調査の途中で、スマホだけでなく周辺の物(ネットワーク機器やクラウド)からも証拠収集しなければならないことが判明する場合もありますし、また、当初は予定していなかった手法の調査を追加しなければならない場合もありますし、そのような想定外のことがあると調査完了まで1ヶ月かかることもあります。

このように60日期限はそこそこシビアなものですので、あまりグズグズしている余裕はないのだとご理解頂き、すぐに対応を始めて下さい。

ご自身での対処が難しいときは
ぜひ当社のフォレンジック調査をご検討ください

当社はデジタル・フォレンジックが専門の調査会社です。
スマホに限らずパソコン、サーバ、ネットワーク等のIT環境を広く調査可能です。
ハッキングでお困りのときはぜひ当社の調査サービスをご利用下さい。

スマホがハッキングされているか否か、ご自身でも半信半疑という方が多くいらっしゃいます。
『ハッキングされた? いやまさか・・・でもやっぱり・・・』というように。
そのようなときのために、通常のフォレンジック調査よりも費用が安い「マルウェア調査」や「ファスト・フォレンジック」という調査サービスもご用意しております。

こちらも読まれています