紛失したスマホが何されるか？　Symantecが50台を置き忘れてみた実験

　Symantecは、紛失したスマートフォンがどのように扱われるかを調査した「Symantec Smartphone Honey Stick Project」の結果を同社公式ブログにて報告した。これは、ダミーのアプリやファイルを入れた無防備なスマートフォン50台を各所にわざと置き忘れ、拾い主が何をするのか実験したものだ。拾い主によってアプリ／ファイルに何らかのアクセスが行われたスマートフォンが96％に上ったという。持ち主の連絡先を調べるためだった可能性もあるが、それ以外の情報に興味を持ってアクセスしていることがわかった。

　実験は2011年後半、米国のニューヨーク、ワシントンD.C.、ロサンゼルス、サンフランシスコ、カナダのオタワの5都市で行った。スマートフォンを置き忘れた場所は、エレベーターやショッピングモール、フードコート、バス停など、人通りの多い公共の場所。スマートフォンにはパスワードなどのセキュリティソフト／機能を設定せず、拾い主が操作できるようになっており、どのアプリ／ファイルにアクセスしたのかリモートでログが収集される仕組み。

置き忘れたスマートフォンのイメージ（Symantec Security Response Blogより画像転載）

　まず、スマートフォンの「Contacts」アプリに持ち主の電話番号やメールアドレスを明示していたにもかかわらず、スマートフォンを持ち主に返そうとしたのは50％にとどまった。

　拾い主が実行・閲覧しようとしたアプリ／ファイルは、「Contacts」38台、「Private Pix」34台、「Social Networking」30台、「Webmail」28台、「Passwords」27台、「HR Salaries（給与）」25台、「Calendar」23台、「Remote Admin」23台、「Cloud-Based Docs」22台、「Corporate Email」21台、「Online Banking」20台、「HR Cases（人事）」19台だった（報告があった47台の結果）。拾い主の89％がパーソナルな情報に、83％が仕事に関連する情報にアクセスしようとしたとしている。

　Symantecでは、スマートフォンにパスワードを設定すること、紛失した際にリモートでデータを消去できる機能を追加すること、紛失したスマートフォンの位置を追跡するためのソフトウェアをインストールしておくことの3つの対策で、紛失時の大半のリスクは解消できると説明している。

　Symantec Smartphone Honey Stick Projectは、カナダSecurity PerspectivesのScott Wright氏と協力して実施したもの。同氏は2008年、最初の「Honey Stick Project」として、USBメモリを拾った人の行動を調べる実験を行っている。