紛失したスマホが何されるか? Symantecが50台を置き忘れてみた実験


 Symantecは、紛失したスマートフォンがどのように扱われるかを調査した「Symantec Smartphone Honey Stick Project」の結果を同社公式ブログにて報告した。これは、ダミーのアプリやファイルを入れた無防備なスマートフォン50台を各所にわざと置き忘れ、拾い主が何をするのか実験したものだ。拾い主によってアプリ/ファイルに何らかのアクセスが行われたスマートフォンが96%に上ったという。持ち主の連絡先を調べるためだった可能性もあるが、それ以外の情報に興味を持ってアクセスしていることがわかった。

 実験は2011年後半、米国のニューヨーク、ワシントンD.C.、ロサンゼルス、サンフランシスコ、カナダのオタワの5都市で行った。スマートフォンを置き忘れた場所は、エレベーターやショッピングモール、フードコート、バス停など、人通りの多い公共の場所。スマートフォンにはパスワードなどのセキュリティソフト/機能を設定せず、拾い主が操作できるようになっており、どのアプリ/ファイルにアクセスしたのかリモートでログが収集される仕組み。

置き忘れたスマートフォンのイメージ(Symantec Security Response Blogより画像転載)

 まず、スマートフォンの「Contacts」アプリに持ち主の電話番号やメールアドレスを明示していたにもかかわらず、スマートフォンを持ち主に返そうとしたのは50%にとどまった。

 拾い主が実行・閲覧しようとしたアプリ/ファイルは、「Contacts」38台、「Private Pix」34台、「Social Networking」30台、「Webmail」28台、「Passwords」27台、「HR Salaries(給与)」25台、「Calendar」23台、「Remote Admin」23台、「Cloud-Based Docs」22台、「Corporate Email」21台、「Online Banking」20台、「HR Cases(人事)」19台だった(報告があった47台の結果)。拾い主の89%がパーソナルな情報に、83%が仕事に関連する情報にアクセスしようとしたとしている。

 Symantecでは、スマートフォンにパスワードを設定すること、紛失した際にリモートでデータを消去できる機能を追加すること、紛失したスマートフォンの位置を追跡するためのソフトウェアをインストールしておくことの3つの対策で、紛失時の大半のリスクは解消できると説明している。

 Symantec Smartphone Honey Stick Projectは、カナダSecurity PerspectivesのScott Wright氏と協力して実施したもの。同氏は2008年、最初の「Honey Stick Project」として、USBメモリを拾った人の行動を調べる実験を行っている。


関連情報

(永沢 茂)

2012/3/14 06:00