よく使われるパスワードの上位25位は何度も目にしたことがあるだろう。「password」という文字列をパスワードに設定するなんて愚の極みである。しかし、スマホのPINコードについてはどうだろうか。サイバー犯罪者がスマホに侵入して大切なアカウントが強奪されないようにするには、どのようなPINコードが適しているのだろう。

多くの人々が、スマホのロックにPINコードを利用している。しかし、そのPINコードが誰かに知られたり、解読されたりしたらどうなるだろうか。犯罪者は、よく使われるPINコードからあなたのPINコードを推測できるかもしれない。そうすると、犯罪者は電子メールを読むだけでなく、WhatsAppでメッセージを送る、あるいはAmazonのカートを盗み見るだろう。

サンズ・インスティテュート社の最近の研究によると、携帯電話によく使用されるPINコードの上位20位は、次のとおりである (順不同)。

0000
1004
1010
1111
1122
1212
1234
1313
2000
2001
2222
4444
3333
4321
5555
6666
6969
7777
8888
9999

驚いたことに、上記羅列したPINコードでロック解除されたスマホは全体の26%を占めている。スマホが盗難、紛失に遭ったら犯罪者にとっては絶好のチャンス到来だ。彼らは、あなたのことを知らなくても、これらのコードを数回入力するだけでスマホに侵入してしまうだろう。

カニエ・ウェスト (アメリカの人気アーティスト) もそうだが、単純なコードを使い続ける人が多いのはなぜだろうか。それには、まず次の質問の答えを考えてほしい。

「スマホをロック解除するためのPINコードを最後に変更したのはいつだろうか。」

スマホが普及し約10年間、現在ほとんどの人がロック機能を利用している。アップル社が最初のiPhoneを販売したのが2007年。その当時、セキュリティ対策について議論されることはほとんどなく、その機能ばかりに注目が集まっていた。

2007年から数年後、指紋認証を搭載したデバイスが世に送り出された。それまでは、ロック解除のために一日に何十回もコードの入力が求められた。そうした煩わしさを思えば、「すぐ・簡単に」スマホを利用する方法を誰もが必要としていたという背景も納得できるのではないだろうか。

多くの人が長いコードやFace ID、タッチIDを取り入れているが、PINコードを変更しないことが問題である。今や、PINコードでスマホをロック解除することはあまりないのに、すべてのデバイスで同じコードを使っているのだ。

PINコードを忘れないためにも、自分に関連する数字を使うことはよくある。しかし、攻撃者は「まさか自分が」と思っている人を狙うものだ。あなたのスマホに侵入しようとしているハッカーが、あなたのことをほとんど知らない場合、どうするだろうか。一般的にありがちなのが、ロック解除用のPINコードが4桁なら西暦を、6桁なら自分の覚えやすい記念日をコードとして設定すること。これでは、サイバー犯罪者がロック解除用のコードを難なく探し出してしまう。極めて危険な方法であり、非常に大切なデバイスを守れるはずがない。

プライベートな情報が決め手となる理由

プライベートな情報を入手できさえすれば、ロック解除は想定以上に容易なことである。

少し話しは逸れるが先日、私（Jake Moore）はサイバー犯罪者が企業のコンピュータに不正侵入する方法について講演した。講演の内容が、犯罪者のパスワード窃取の方法にさしかかった時、私は壇上から前列に座っていた男性の行動に目を奪われてしまった。その彼はポケットからスマホを取り出し、ロック解除のためにPINコードを入力しようとしていた。入力されたコードは6桁、最後は「1」と「4」であった。

ほとんどの人にとっては、特に意味のない２つの数字のように思えるかもしれない。しかし、これらの数字とプライベートな情報を組み合わせると、残りの4つの数字を解読できるかもしれない。講演中に、彼に名前を尋ねてみたところ、彼は快く答えてくれたのでFacebookに彼の名前を入力した。彼の「基本データ」ページで、彼が結婚していることだけでなく、彼の妻の名前も判明した。他に参考になりそうな情報は特になかったので、妻のプロフィールをクリックし、彼女の「基本データ」ページにもアクセスした。

すると、彼女の個人情報が大量に公開されていた。その中でも特に注目すべきは、結婚記念日が9月1日である点だ。勘が鋭い方ならお気づきかもしれないが、結婚したのは2014年とのこと。私は彼にスマホのロックを解除しても良いか丁重に尋ねてみた。彼はあくまでもテストということで、しぶしぶ首を縦に振ってくれた。私が彼のスマホに「010914」と入力すると、ビンゴだ。ロック解除に成功し、非現実的だと思っていることが実際に起こり得ることを、聴衆の目の当たりにしたのである。その時、半数近くの聴衆が自分のスマホを取り出し、PINコードを手っ取り早く変更する方法はないかと尋ねてきたことからも、効果はてきめんであったのだろう。

Face IDやTouch IDであれば攻撃を完全にブロックできるのだろうか。シンプルに言えば「ノー」の一言に尽きる。デバイスに指紋認証や顔認証を使えば、PINコードのセキュリティを真剣に考える必要がないと考えている人が多いようだが、これだけは覚えておいて欲しい。初期設定のコードでスマホをロック解除できるだけでない。ハッカーはあなたの指を切り取ったり、顔を取り換えたりしなくても、PINコードをいとも簡単に解読し、あなたのデバイスをロック解除してしまうのだ（ちなみに、スマホへアクセスするために、亡くなった方の指を実際に使ったことがある。これについては別のブログ記事を参照していただきたい）。

私がデジタル科学捜査班に所属していた頃、アップル社のiPhoneをロック解除できる素晴らしいツールがあった（同様の装置を使った様子を見たい場合は、ここをクリック）。私たちが利用している解読装置はスマホをロック、ワイプせずに、4桁のコードを「0000」から「9999」まで1ずつ増やしていくことができる。作業時間は1回あたり4秒ほど。時間を節約するため、PINに使われそうな数字から作業を始めていた。

調査の際はいつも、「1970」から作業を開始した。ほとんどの場合、「2010」に達する前にデバイスへアクセスできた。これは、トラブルに巻き込まれる人の多くは、すぐに思い出せるように生年月日、結婚記念日、子供の誕生日を使っているからである。

簡単にPINコードを推測されないための対処法

最適なセキュリティ対策として、スマホをロック解除するコードには、英数字を組み合わせた他にはないような長いコードを使うことだ。そして長いコードに設定すると、デバイスのロック解除が煩雑になるので、すぐに使えるようTouch IDやFace IDを有効にしておくことである。

また、周囲で自身の動きをチェックしている人がいないかにも注意してほしい。公共交通機関に乗車していると、PINコードやパスワードを不用心に入力している人をよく見かける。すぐ後ろの席で、クレジットカード情報だけでなく3桁のセキュリティコードすら、電話越しに大きな声で伝える人もいる始末だ。

最後に、デバイスをバックアップしたら、セキュリティレベルを高めた方が良いだろう。iOSなら「iPhoneを探す」、Androidなら「端末を探す」を有効にすれば、たとえスマホが盗まれたとしても、リモートワイプを利用することが可能だ（盗難防止機能とリモートワイプ機能は、一般的なモバイル用セキュリティ製品にも備わっている）。残念ながら、盗難・紛失したデバイスは手元に戻ってこないかもしれないが、少なくとも犯罪者がデバイスをロック解除したり、あなたの個人データや情報をのぞき見たり、といったことは防ぐことができる。