スマートフォンのセキュリティ対策

~スマートフォンを安全に利用するために~ セキュリティ対策のご紹介

~スマートフォンを安全に利用するために~ セキュリティ対策のご紹介

Contents

お客さまがサイバー犯罪などの被害に遭わないように、お客さまご自身が注意すべき点やおすすめの対策をご紹介します。

スマートフォンを最新の状態に保つ

スマートフォンはパソコンと同じくインターネットに接続して、さまざまなWebサイトや動画を閲覧したり、色々なアプリをインストールして利用することができる便利な道具です。
便利さの一方でパソコンと同じように、ウイルス感染やソフトの脆弱性を狙った攻撃にさらされる可能性があります。そのような攻撃から守るためにOSやアプリを最新の状態に保つようにしましょう。

OSのアップデート

Android スマートフォン、iPhoneは、新機能の追加や不具合の対応、新たに見つかった脆弱性の修正をOSのアップデートやセキュリティ機能の改善(以下、OSアップデート)という形で提供しています。
利用しているスマートフォンのOSアップデートが提供されると、OSアップデートの通知がスマートフォンに表示されますので、OSアップデートを実施するようにしましょう。
Android スマートフォンのOSアップデート情報は以下をご覧ください。

iPhoneのOSアップデート情報は新規ウィンドウが開きますApple Inc.ホームページをご覧ください。

アプリのアップデート

スマートフォンのアプリは新機能追加や不具合修正のほかに、セキュリティ対策として脆弱性の修正を実施する場合があります。OS同様、アプリも最新の状態にするようにしましょう。また、OSの設定でアプリの自動更新の設定をしておくと、自動的にアプリが更新されるので便利です。
自動更新の設定方法は、Android スマートフォンについては新規ウィンドウが開きますGoogle、iPhoneについては新規ウィンドウが開きますApple Inc.の説明ページで確認ください。なお、アプリの自動更新を設定しておくと、更新時に通信料が発生する可能性があるので、通信料を気にされる方は、Wi-Fi接続時のみ自動更新する設定をお勧めします。

不正なアプリをインストールしない-マルウェア(ウイルス)から守る

フィッシング(スミッシング)メールやホームページ閲覧中に表示される偽の警告などから誘導した先で、巧妙にマルウェアをインストールさせようとする事例が増えてきています。マルウェアをインストールしてしまうと、スマートフォンに保存している情報が盗まれたり、身に覚えのない決済が行われるおそれがあります。このようなことから守るためには、怪しいアプリをインストールしないようにしましょう。
App Store/Google Play などの公式のマーケット以外からインストールしないようにすることで、マルウェアの感染リスクを下げることができます。

昨今、SMSをばらまくマルウェアの被害が確認されています。詳細は以下をご覧ください。

新規ウィンドウが開きますスマホに潜んでSMSをばらまくマルウェアについて

提供元不明なアプリはインストールしない(公式マーケットからアプリをインストールする)

Android スマートフォンではPlayストア(Google Play)や通信事業者が提供する公式のマーケット以外からもアプリ(「提供元不明のアプリ」/「不明なアプリ」)がインストール可能となっています。このようなアプリは安全性が十分確認されていない場合があるので、原則インストールしないようにしましょう。
なお、Android スマートフォンの初期設定で「提供元不明のアプリ」/「不明なアプリ」はインストールができない設定となっており、インストールする際には警告が表示されます。「提供元不明のアプリ」や「この提供元のアプリを許可」の設定をオンにすることでインストール可能となりますが、通常の利用においてはオンにする必要はありません。
リスクを十分理解している方以外はオンにしないようにしましょう。

Android 8.0 未満 Android 8.0 以上 初期設定はオフです ※オンにするときは十分注意してください。

また、Andoridではメールに添付されたアプリのファイル(APKファイル)をクリックすることでアプリをインストールすることが可能ですが、通常はメールにAPKファイルを添付して送信することはなく、ほとんどの場合マルウェアです。見知らぬ人からのメールの場合は無視すべきですが、知人からの場合でもなりすましの可能性があります。直接会ったり電話で確認したりして確実に安全だと判断できる場合を除いては、原則インストールしないようにしましょう。

より安全な認証手段を利用する

インターネット上のサービスへ不正ログインされ、金銭や個人情報などの重要情報が窃取される被害が確認されています。
従来のような総当たり攻撃や辞書攻撃に加えて、昨今ではフィッシング詐欺によるパスワード窃取、さらには二段階認証コードの窃取まで行う手口も現れています。
このような巧妙化する手口から身を守るためには、サービス利用時の認証を強化することが重要です。

生体認証の利用

指紋や顔などの情報を用いる生体認証は、ログインIDとパスワードを用いた認証に代わる安全性の高い認証方法です。パスワードを利用しないため、フィッシングサイトなどで第三者にパスワードを盗み取られて不正にログインされるリスクが減ります。生体認証が利用可能なサービスでは、積極的に利用することをお勧めします。

当社の提供する「指紋・顔認証によるログイン」では、スマートフォンのデバイスロックの仕組みを用います。万が一のスマートフォンの盗難・紛失に備えて、デバイスロックのPINコードには推測されにくいものを設定しましょう。

なお、生体認証の際にデバイス内に生成される情報(「秘密鍵」といいます)はGoogle パスワード マネージャーやiCloudキーチェーンなどの管理サービスにも共有されるため、Google アカウントやApple IDなどが不正ログインされると生体認証を設定したサービスにも不正ログインされる恐れがあります。秘密鍵を共有している管理サービスのログイン情報(パスワードや秘密の質問など)は厳格に管理するようにしましょう。

認証アプリの利用

一部のサービスでは、認証アプリを利用することで認証を強化できます。
認証アプリは、一般的にログイン時の追加認証として使われます。スマートフォン上で生成された短時間だけ有効な認証コードを用いて認証するため、他者に盗み見られる心配が少なく、安全にログインできます。
認証アプリの再設定時にメールやSMSを利用するサービスでは、メールアカウントが乗っ取られていたりSMSを盗み見られたりすると他人に再設定される恐れがあることには注意が必要です。

サービスに認証アプリの設定を行うと、ログインIDとパスワード入力後に認証コードの入力が求められるようになります。認証アプリをから認証コードを確認し、入力することでログイン可能となります。

認証アプリには、Google の「Authenticator」アプリ、Microsoftの「Authenticator」アプリなどがあります。iOS(iPhone)はアプリではありませんが、「設定→パスワード」から利用する「パスワード管理機能」がなどがあります。

Xでの利用例

  • X ログイン画面、X パスワード入力画面
  • X 認証コード入力画面で該当サービスの認証コードを入力

パスワード管理アプリの利用

パスワード管理アプリは、お使いのサービスとは別にインストールして利用するものとなります。
パスワード管理アプリを利用すると、お使いのサイトのURLを判別して、対応するID・パスワードを自動入力することができるようになります。パスワードを覚えておく必要がないため、複雑で安全なパスワードを設定しやすくなります。
また、自動入力されない時に違和感を持つことができるようになります。いつも使っているサイトで自動入力されない場合、精巧に偽装されたフィッシングサイトかもしれないと疑ってみましょう。

auでもパスワード管理アプリを提供しています。
auスマートパスプレミアムにご加入いただくことで、UQ mobileやpovoをお使いのお客さまもご利用いただけます。

破られにくいパスワードの設定

単純なパスワードを使っていると、総当たりや辞書攻撃によって不正ログインされる恐れがあります。
また、複雑なパスワードを使っていても、ほかのウェブサイトで漏えいしてしまえば安全とは言えなくなってしまいます。

パスワードを破られないためには、複雑なパスワードを設定して、使いまわさないことが重要です。
すべて覚えておくことは難しいため、上述のパスワード管理アプリも活用してみましょう。

紛失・盗難に備える

スマートフォンには重要な情報が保存されているケースが多く、万が一、盗難・紛失した場合、重要な情報が流出したり悪用される恐れがあります。そのため万が一に備えての対策をご紹介します。
なお、盗難・紛失してお困りの場合には、次の通り対応をご案内していますので参考にしてください。

画面ロックの設定

スマートフォンを購入したら画面ロックの設定をしましょう。画面ロックをしておけば、スマートフォンを置き忘れた際にも他人にスマートフォンに保存している情報を見られるリスクを低減できます。

遠隔サポート機能(遠隔ロック・位置検索)の設定

スマートフォンを盗難・紛失した場合の備えとして、遠隔ロック機能、位置検索機能が用意されています。あらかじめ機能を設定しておくことをお勧めします。これにより、盗難・紛失した場合にスマートフォンを遠隔でロックしたり、スマートフォン内のデータを削除して漏洩を防ぐことが可能となります。

端末データのバックアップ

スマートフォンを盗難・紛失した場合、スマートフォンに保存されている重要な情報を失う可能性があります。また、重要情報の流出に備え、遠隔サポート機能を使ってスマートフォン内のデータを消去しなければならない場合もあります。
たとえスマートフォンの情報を失っても後で回復することができるように、スマートフォンのデータをバックアップしておくことをお勧めします。
auでは、お客さまのスマートフォンに保存されている写真やアドレス帳、その他大切なデータをauのサーバに保存するデータお預かりサービスを提供しています。
auスマートパスプレミアムにご加入いただくことで、UQ mobileやpovoをお使いのお客さまもご利用いただけます。

新規ウィンドウが開きますデータお預かり

フィッシング詐欺に注意する

フィッシング詐欺については下記をご覧ください。

新規ウィンドウが開きますフィッシング詐欺にだまされないために

Webブラウザの警告に注意する

Webブラウザには、フィッシングサイトなど危険なサイトにアクセスした際に、警告画面を表示する場合があります。警告画面が表示された場合は、該当のブラウザページを閉じて、そのサイトにはアクセスしないようにする必要があります。
なお、危険なサイトすべてに警告画面が出るわけではありませんので、警告画面が表示されなくても過信は禁物となります。

Android Chrome
Android Chrome
iPhone Safari
iPhone Safari

偽警告に注意する

Webサイトの閲覧中に突然“ウイルスに感染しています”などの警告が表示されることがあります。これは、不正なアプリのインストールを促すページや個人情報を取得するページへ誘導するための偽警告です。このような表示が出た際にはページを閉じて、それ以上アクセスしないようにしてください。

外部(不正)サイトに誘導する

短縮URLに注意する

SNSやSMS・メールなどで、リンク先のURLを記載すると文字数が多くなり読みにくなってしまうことから、短縮URLを呼ばれる短いURLリンクを使うケースがあります。
短縮URLをクリックすると、そこから本来アクセスさせたいWebサイトに遷移することになりますので、利用者は短縮URLを見ても実際にどのサイトにアクセスするかを判断することができません。
攻撃者はこの機能を悪用し、フィッシングサイトや詐欺サイトに誘導することが非常に多く行われています。したがって、「身に覚えのない」SMSやメールに記載のリンク先には不用意にアクセスしないようにしましょう。
文章に特に不安を煽るものや、関心を惹くものには注意
ご利用のサービスの公式サイトをあらかじめブックマークしておき、そこからアクセスするのがお勧めです。

Wi-Fi(無線LAN)を注意して利用する

公衆Wi-Fiは誰でも自由に使えることが魅力ですが、一方で十分なセキュリティ対策がされていないものや、利用者に害をもたらすことを目的に用意されているWi-Fiも存在します。したがって、公衆Wi-Fiを利用する際にはWi-Fiの安全性を確認の上、利用することが重要です。

通信事業者が提供しているWi-Fiサービスを利用する

通信事業者が提供しているWi-Fiサービスを利用することで安全にWi-Fiを利用することができます。
auでは駅やカフェなどで、Wi-Fiサービスを提供しています。

VPN機能を利用する

公衆Wi-Fiは多くの人がWi-Fiを共有してインターネットに接続します。そのため十分なセキュリティ対策がなされていないWi-Fiでは第三者に送受信するデータを盗聴される可能性があります。このような環境でも安全にWi-Fiを使う方法として、VPNを利用することで通信を保護する方法があります。VPNでは仮想的に構築された専用ネットワークで通信が行われるため、第三者に送受信するデータの盗聴を防ぐことができます。

新規ウィンドウが開きますau Wi-Fi アクセスではWi-Fi使用時にVPNを利用できるセキュリティモードを提供していますのでぜひご利用ください。
auスマートパスプレミアムにご加入が必要です。

au Wi-Fi アクセス

プライバシー情報の利用方法を確認する

スマートフォンのアプリの多くは、アプリ利用時に必要な情報を収集しています。一方、一部のアプリでは本来不要な情報も収集しているものがあり、利用者のプライバシーの観点から問題視されています。
スマートフォンから情報を収集することについて、アプリ初回起動時に利用規約やプライバシーポリシーを示して承諾を求められますので、不必要なデータ収集が行われていないか確認するようにしましょう。
また、App Store、Google Play ともにアプリをダウンロードする前にどのようなデータを扱うのか説明が表示されるので、ダウンロードする際に確認するのがよいでしょう。もし、この画面でアプリを利用する上で必要と思われないデータを扱っている場合は、不正にデータを収集している可能性などがあります。その場合はアプリの利用をやめる、利用する場合にも不要な許諾をしないなど十分注意して利用するようにしましょう。

iPhoneのアプリのプライバシー情報の確認方法

App Storeにてアプリをダウンロードする際に、希望するアプリのダウンロード画面下に、“APPのプライバシー”の表示があり、ここで“詳細表示”を選択することで、そのアプリがどのようなデータを取り扱う可能性があるか確認することができます。

Android のアプリのプライバシー情報の確認方法

Google Play にてアプリをダウンロードする際に、希望するアプリのダウンロード画面下に、“データセーフティ”の表示があり、“詳細表示”を選択することで、アプリが共有・収集するデータを確認することができます。

セキュリティソフトを利用する

セキュリティソフトには、下記に示すようないろいろなセキュリティ対策が備わっています。

マルウェア対策

フィッシングサイトなどの危険なサイトからマルウェアのインストールやメールに添付されたマルウェアのインストールを防ぐことができます。
ただし、セキュリティ対策ソフトも万能ではなく、必ずしもすべてを防げるとは限りません。セキュリティソフトを過信せず、少しでも怪しいと感じたサイトにはアクセスしないようにしましょう。

不正Wi-Fi接続対策

危険なWi-Fiネットワークを検知し、危険なWi-Fiへの接続を抑止します。
また、Wi-Fi接続に、VPN接続を行う機能を持っているものもあります。なお、VPN接続の詳細な説明については、“Wi-Fi(無線LAN)を注意して利用する”を参照ください。

不正Webアクセス対策

フィッシングサイトなど危険なサイトを検知し、これらサイトにアクセスしようとしたWebブラウザの警告画面と同様に警告を表示することで危険なサイトへのアクセスを抑止します。なお、本機能は、セキュリティソフト会社が持っている情報を元に不正アクセスを防止している機能となります。
ただし、Webブラウザの警告画面と同様に、危険なサイトすべてに警告画面が出るわけではないので、警告画面が表示されなくても過信は禁物となります。

ダークウェブモニタリング機能

ダークウェブとは、通常の検索エンジンでは検索できない「アンダーグラウンド」部分のウェブのことを指します。ダークウェブでは、サイバー犯罪者がメールアドレスなどの個人情報などの売買もされており、ダークウェブモニタリング機能では、利用者の個人情報がダークウェブで売買されているかの確認を行う機能となります。

なお、セキュリティソフトは種類によって対応している機能が異なるので、どのような機能が必要か十分確認の上で選択する必要があります。また、PCのセキュリティソフトとセットで利用できる製品もあるので、利用シーンにあわせて選択するという方法もあります。
KDDIでは、au Style/auショップにてセキュリティソフトを取り扱っています。
au Online Shopでご購入いただくこともできます(販売条件などは販売ページをご覧ください)。
新規ウィンドウが開きますau Online Shop

また、Android スマートフォンをお使いの場合、auスマートパスプレミアムに加入することで、ウイルス感染を防止するウイルスブロックを利用できます。
新規ウィンドウが開きますウイルスブロック

お役立ち情報