天国へのプロトコル

第17回

PC・スマホのロック解除を連続ミスするとどうなる?  実際に試してみた

事例:BitLockerで過去のデータを閉じ込めてしまった(筆者)

 筆者の手元には、3年前にメインPCが故障したときに取り出した3TBのHDDがあります。Windowsの「BitLocker」機能を使ってドライブ全体を暗号化していたのですが、暗号を解くのに必要な鍵(回復キー)は壊れたPCの内部に保存していました。つまり、完全に閉じ込められた状態になっています。いまも取り出す手立てがありません。

 凡ミスで2020年以前の仕事やプライベートのデータにアクセスできなくなってしまったわけですが、似た事例はデジタル遺品でもよく耳にします。「第15回:うっかり初期化してしまった亡夫のiPhone、もう一度データを戻す作業に挑戦した記録」で取り上げたiPhoneの事例もその1つで、故人のスマホが開けられずに困るケースは多々あります。

 そして、最近はPCでも似た状況で悩む遺族が増えているのも確かです。

 ある60代女性は、急逝した息子が残したMacBookのパスワードが分からずに中身が見られないと悩んでいました。Windowsでも、Surfaceのように標準でBitLockerが有効になっている機種が増えており、データ復旧会社でもお手上げとなる事例が増えています(「第10回:PCの隠したいデータを『墓場まで持っていく』最良の方法は?」参照)。筆者と同じような状態ですね。

 近年はスマホにしろ、PCにしろ、悪意の第三者による総当たり(ブルートフォース)攻撃の対策として、端末のロック解除のハードルを高める傾向があります。連続ミスを一定数繰り返すと端末内を初期化したり、ログインのためにより重い条件が課せられたりする機種が増えています。

 実際のところ、ロック解除を連続してミスするとどうなってしまうのか? 今回は、前述の第15回で検証したiPhone以外の機器――AndroidとWindows、Macを対象に、確かめてみました。

Androidの場合:Galaxyは自動初期化が有効なら連続20回で強制削除

 Android端末は生体認証に加え、パスワードやPIN(Personal Identification Number、個体用の認証番号)コード、パターン認証などでロックがかけられます。認証ミスを繰り返すと、一般的な端末では下記のような挙動となります。ロックの種類は問いません。

  • 連続ミス5回目→30秒間は入力不可
  • 連続ミス10回目→30秒間は入力不可
  • 連続ミス11回目以降→30秒間は入力不可

 一定回数のミスを繰り返すと、30秒間は再チャレンジができない状態になります。連続ミスの回数は再起動などしても記録されますが、11回目以降にペナルティが重くなることはありません。端末内のデータも変化がなく、正しい認証を行えば問題なく復帰できます。

 ただし、より高い安全設定が選べる機種もあります。Galaxyブランドの端末には「自動初期化」機能が備わっており、これを有効にすると認証ミスを20回(もしくは15回)繰り返すと、中身が工場出荷時に戻ります。

「安全ロック設定」-「自動初期化」をオンにすると、認証ミス時のペナルティがグンと重くなる

 加えて、下記のようにミス回数ごとに再チャレンジまでの時間が長くなります。実験には「Galaxy A23 5G」(Android 13)を使いました。

  • 連続ミス5回目→30秒間は入力不可
  • 連続ミス10回目→30秒間は入力不可
  • 連続ミス11回目→1分間は入力不可
  • 連続ミス12回目→2分間は入力不可
  • 連続ミス13回目→5分間は入力不可
  • 連続ミス14回目→10分間は入力不可
  • 連続ミス15回目→30分間は入力不可
  • 連続ミス16回目→1時間は入力不可
  • 連続ミス17回目→2時間は入力不可
  • 連続ミス18回目→4時間は入力不可
  • 連続ミス19回目→8時間は入力不可
  • 連続ミス20回目→初期化

 連続ミス6回目以降は、認証画面に「この端末のロック解除を○回施行しました。あと○回失敗すると、端末が向上出荷時の状態にリセットされ、ファイルおよびダウンロードしたアプリを含む全てのデータが削除されます。」という警告が表示されます。本人にしろ遺族にしろ、この警告メッセージが出た後は闇雲なチャレンジは避けたほうがよいでしょう。

連続ミスを19回繰り返した際の入力待機画面
20回連続ミスにより初期化が始まった画面

 また、この設定で注意したいのは、端末にマウントしているmicro SDカードも20回目のミスの直後に初期化されることです。暗号化されていなければ、20回目に至る前に他の端末に差し替えて中身をコピーするなどの措置をとるのが得策です。

Windowsの場合:「電源を入れて2時間待機」のペナルティを課す局面も

 Windowsも連続認証ミスによってペナルティは重くなっていきます。ただし、初期化機能は備えていません。

 Windows 11 Pro(22H2)搭載の「VAIO S13(VJS1341)」で試したところ、以下のような流れが確認できました。生体認証は使わず、PINコード入力のみで連続ミスを試みています。

  • 連続ミス4回目→チャレンジフレーズ(A1B2C3)の入力を指示される
  • 連続ミス5回目→再起動を求められる
  • 連続ミス9回目→30秒間は入力不可。その後チャレンジフレーズの入力指示
  • 連続ミス10回目→再起動を求められる
  • 連続ミス14回目→1分間は入力不可。その後チャレンジフレーズの入力指示
  • 連続ミス15回目→再起動を求められる
  • 連続ミス19回目→2分間は入力不可。その後チャレンジフレーズの入力指示
  • 連続ミス20回目→再起動を求められる
  • 連続ミス24回目→5分間は入力不可。その後チャレンジフレーズの入力指示
  • 連続ミス25回目→再起動を求められる
  • 連続ミス29回目→10分間は入力不可。その後チャレンジフレーズの入力指示
  • 連続ミス30回目→再起動を求められる
  • 連続ミス33回目→電源を入れた状態で2時間は入力不可
  • 連続ミス35回目→30分間は入力不可。その後チャレンジフレーズの入力指示
  • 連続ミス36回目→再起動を求められる
  • 連続ミス40回目→1時間は入力不可。その後チャレンジフレーズの入力指示
  • 連続ミス41回目→再起動を求められる
  • 連続ミス45回目以降→電源を入れた状態で2時間は入力不可

 プロセスがやや複雑ながら、連続ミスによって再起動や徐々に長期間の待機を求められる流れとなっています。ブートドライブの暗号化(BitLocker)を解除しても同じ挙動でした。

PINとは別に「チャレンジフレーズ」=A1B2C3の入力を指示される局面もある
「電源を入れたまま2時間待機」がもっとも重いペナルティといえる

 PINコードが不明な場合は、生体認証のほかに、Microsoftアカウントパスワードを入力して、PINコードをリセットするアプローチも可能です。その際はMicrosoftアカウントに紐付けられたメールアドレスなどを介して二段階認証を受ける必要があります。

 そのほか、メーカー保証外の行為になると思いますが、BitLockerがかかっていないドライブであれば、物理的に取り出して中身をコピーする方法も場合によって有効でしょう。一方、セーフモードは立ち上げる際にPINコードを求められるので、回避策としては使いにくそうです。

Macの場合:FileVaultの有無で挙動が変わる

 Macもパスワード(PINコード)によってロックを解除してログインする仕組みを採用しています。ただし、連続認証ミスのペナルティはブートドライブの暗号化設定(FailVault機能の有効/無効)によって大きく異なります。

 FailVaultが無効になっている場合、下記のようになります。なお、試用機は「MacBook Pro(2020 Early)」で、OSをmacOS Sonoma(14.2.1)にアップグレードしています。

  • 連続ミス3回目以降→パスワードのヒントを表示

 ペナルティはほぼなく、解除ができなければ延々と入力が試せました。しかし、FailVaultを有効にした場合は、一転して厳しいハードルが現れます。

  • 連続ミス3回目→パスワードのヒントを表示
  • 連続ミス4回目→1分間は入力不可
  • 連続ミス5回目→5分間は入力不可
  • 連続ミス6回目→15分間は入力不可
  • 連続ミス7回目→1時間は入力不可
  • 連続ミス8回目→1時間(実際は3時間程度)は入力不可
  • 連続ミス9回目→1時間(実際は8時間程度)は入力不可
  • 連続ミス10回目→アカウントのロック

 入力不可の待機時間中も、しばらく待っていたり再起動したりするとパスワード入力欄に書き込める状態になりますが、入力しても認証が通らない状況が続きます。

 また、連続ミス7~9回ではいずれも「アカウントはロックされています。1hour後にやり直してください。」と表示されますが、実際の待機時間はカッコ内で表示した値に近く、やはり回数を重ねるごとに再チャレンジまで長く待つことになります。10回ミスするとアカウントがロックされてしまい、もう再チャレンジはできません。

連続ミス7回目のログイン画面
10回連続ミスでアカウントはロックされる

 一方で、連続ミスで入力が通らない間でも、パスワードをリセットして再設定する策を選ぶこともできます。ただし、パスワードリセットにはApple IDパスワードや紐付いた個人情報などの入力、あるいはFileVault復旧キーの入力が欠かせません。

「recoveryOS」で起動して、ブートドライブのパスワードをリセットする
リセットして新たなパスワードを設定する。アカウントのロック後はこの前にロック解除のプロセスを経る必要がある

 パスワード=PINコードが通らなければ、アカウントなどの情報により持ち主であることを証明して再設定する道筋が用意されていること、ブートドライブや周辺のストレージが強制初期化される心配はないことなどは、Windows 11のケースとよく似ています。

結論:端末ロックの鍵と本人証明がますます重要に

 以上と第15回でのiPhoneの連続認証ミスの挙動をまとめると、下図のようになります。

iPhoneとAndroid(Galaxy)、Windows(11)、Macの連続認証ミスの挙動

 俯瞰してみると、暗号化を含めたセキュリティ機能を高めると、連続認証ミスのペナルティが上昇することはスマホとPCで共通しているといえそうです。スマホに関しては、機種や設定によっては強制的に中身が工場出荷時の状態に戻るリスクも見逃せません。

 こうした傾向を踏まえると、端末ロックを解く鍵の重要度が、数年前に比べても着実に上がっていることが分かります。

 同時に、その鍵を紛失した場合の予備策として、アカウントを通して本人であることを証明する手法が主流になっていることも覗えます。Apple IDやGoogleアカウント、Microsoftアカウントとそのパスワードはもちろん、アカウントに紐付けたほかの端末やメールアドレス、電話番号などの情報も、2段階認証の手続きで欠かせません。

 デジタル機器を使う側も残される側も、端末ごとのリスクを理解した上で、慎重に「鍵を回す」意識が求められるといえるでしょう。

今回のまとめ
  • Androidでも、自動初期化機能を備えたGalaxyのような端末もある
  • WindowsやMacはPINコード=パスワードが重要。再設定の道もある
  • 予備策として、アカウントを通して本人認証を求める手法が増えている

故人がこの世に置いていった資産や思い出を残された側が引き継ぐ、あるいはきちんと片付けるためには適切な手続き(=プロトコル)が必要です。デジタル遺品のプロトコルはまだまだ整備途上。だからこそ、残す側も残される側も現状と対策を掴んでおく必要があります。何をどうすればいいのか。デジタル遺品について10年以上取材を続けている筆者が、実例をベースに解説します。バックナンバーはこちらから

古田雄介

1977年生まれのフリー記者。建設業界と葬祭業界を経て、2002年から現職。インターネットと人の死の向き合い方を考えるライフワークを続けている。 著書に『スマホの中身も「遺品」です』(中公新書ラクレ)、『デジタル遺品の探しかた・しまいかた、残しかた+隠しかた』(日本加除出版/伊勢田篤史氏との共著)、『ネットで故人の声を聴け』(光文社新書)など。 Twitterは@yskfuruta