1. TOP
  2. ニュース&トピックス
  3. モバイル通信セキュリティ 初心者向けガイド
Technical Term

モバイル通信セキュリティ 初心者向けガイド

トピックス

1. はじめに:なぜこの対策が必要なのか

このドキュメントは、米国のサイバーセキュリティ機関であるCISAが公開した「モバイル通信のベストプラクティス」を基に作成されています。

本来、このガイドラインは政府高官や重要人物を標的としたスパイ活動への対策として作られましたが、ここに書かれている内容は私たち一般のスマートフォンユーザーにとっても非常に有効です。サイバー攻撃の手口は日々進化しており、「自分は狙われない」と思っていても、無差別に情報を盗み取られるリスクは常に存在します。

本ガイドでは、専門用語を避け、今日からすぐに実践できる具体的な設定や習慣について解説します。

 

2. 全ユーザー共通:8つの重要なセキュリティ対策

iPhoneAndroidを問わず、すべてのスマートフォンユーザーが実践すべき基本項目です。

① エンドツーエンド暗号化(E2E)アプリを使う 🔒

通常のSMS(ショートメッセージ)は暗号化されておらず、通信会社や攻撃者に盗み見られる可能性があります。「Signal」や「WhatsApp」のような、エンドツーエンド暗号化(送信者と受信者以外は誰も内容を読めない技術)に対応したアプリを使用してください。

  • 推奨アプリ:Signal, WhatsApp, iMessageなど
  • ポイント:iPhoneAndroid間でのやり取りでも暗号化が維持されるアプリを選ぶのがベストです(Signalなど)。

② フィッシングに強い「FIDO認証」を使う 🔑

パスワードだけでは不十分ですが、通常の認証アプリも完璧ではありません。最も強力なのは「FIDO(ファイド)」と呼ばれる仕組みです。これは「パスキー」や物理的なセキュリティキー(YubiKeyなど)を使用する方法です。

  • アクション: GoogleAppleMicrosoftアカウントで「パスキー」を設定しましょう。

SMS認証(ショートメールでの番号受取)をやめる 📲

ログイン時の本人確認にSMSでコードを受け取る方法は、実は危険です。SIMスワップ(電話番号の乗っ取り)攻撃により、犯人にコードを受け取られてしまうリスクがあります。

  • 対策:SMS認証をオフにし、代わりに認証アプリ(Google Authenticatorなど)やFIDO認証に切り替えてください。

④ パスワードマネージャーで管理する 📝

パスワードの使い回しは厳禁です。しかし、すべてを覚えるのは不可能です。パスワード管理アプリを使って、長く、複雑で、サイトごとに異なるパスワードを設定してください。

  • 推奨ツール:1Password, Bitwarden, Appleのパスワード機能, Googleパスワードマネージャーなど。
  • 注意:パスワードマネージャー自体の「マスターパスワード」は絶対に忘れない強力なものにしてください。

⑤ 携帯電話会社(キャリア)のPINコードを設定する 🛡️

犯罪者が携帯ショップになりすまして、あなたの電話番号を別のSIMカードに移す「SIMスワップ」という手口があります。これを防ぐため、携帯電話会社のマイページなどで、契約変更時に必要な暗証番号(PIN)や追加の認証を設定してください。

⑥ ソフトウェアを常に最新にする 🔄

OSiOS/Android)やアプリの更新通知が来たら、後回しにせずすぐにアップデートしてください。古いソフトには既知の弱点(脆弱性)が残ったままになっており、攻撃の入り口になります。

  • 設定:「自動アップデート」をオンにしておきましょう。

⑦ 古いスマホを使い続けない 📱

ソフトウェアのアップデートだけでなく、ハードウェア(スマホ本体)自体にも寿命があります。メーカーのセキュリティサポートが終了した古い機種は、どんなに気をつけても危険です。セキュリティ更新が提供されている新しい機種を使用してください。

⑧ 個人用VPNの使用には注意する ⚠️

VPNを使えば安全」とは限りません。CISAは、安易な個人用VPNの使用は逆にリスクを高める可能性があると警告しています。悪質な無料VPN業者が通信内容を盗み見る可能性があるためです。

  • アドバイス:信頼できる大手有料VPN以外は避け、基本的にはHTTPS(鍵マークのついた通信)と暗号化アプリ(Signalなど)で自衛しましょう。

 

3.iPhoneユーザー向けの推奨設定 🍎

① ロックダウンモードの検討

iOS 16以降に搭載された「ロックダウンモード」は、機能を極端に制限して防御力を高める機能です。一部のWebサイトや添付ファイルが見られなくなりますが、極めて高いセキュリティが必要な場合は検討してください。

iMessageSMS送受信をオフに

iMessageが使えない時に、自動的にセキュリティの低いSMSとして送ってしまう設定があります。これをオフにすることで、意図せず非暗号化通信になるのを防ぎます。

  • 手順:設定 > アプリ > メッセージ > SMSで送信」をオフ

iCloudプライベートリレーの使用

Safariでの閲覧履歴やIPアドレスを保護する機能です(iCloud+の契約が必要)。Webサイト側やネットワーク管理者に閲覧先を知られないようにします。

④ アプリの権限見直し

「設定 > プライバシーとセキュリティ」から、カメラ、マイク、位置情報へのアクセス権限を確認してください。不要なアプリがこれらにアクセスしていないか定期的にチェックしましょう。

⑤ 暗号化DNSの使用

Webサイトのアドレス変換(DNS)を暗号化し、どのサイトを見ているかをプロバイダ等に知られにくくします。Cloudflare1.1.1.1)などの信頼できるDNSアプリや設定プロファイルを使用します。

 

4.Androidユーザー向けの推奨設定 🤖

① セキュリティ実績のあるメーカーを選ぶ

Androidはメーカーによってセキュリティ更新の頻度が異なります。Google PixelSamsung Galaxyなど、長期間(5年以上)のセキュリティアップデートを約束しているメーカーの端末を選びましょう。

GoogleメッセージのRCSと暗号化を確認

標準のメッセージアプリで「RCSチャット」を有効にしてください。相手もRCSを使っていれば、通信は自動的にエンドツーエンドで暗号化されます。

③ プライベートDNSの設定

Androidの設定には「プライベートDNS」という項目があります。ここに信頼できるプロバイダ(例: 1dot1dot1dot1.cloudflare-dns.com など)を設定することで、盗聴を防ぐことができます。

Chromeの「セーフブラウジング」強化

Chromeブラウザの設定で「保護強化機能」を有効にしましょう。危険なサイトやダウンロードからリアルタイムで保護してくれます。

Google Playプロテクトの確認

不正なアプリをスキャンする「Google Playプロテクト」が有効になっているか確認してください。また、公式ストア(Google Play)以外からアプリをインストール(サイドローディング)するのは避けましょう。

⑥ アプリ権限の最小化

「設定 > プライバシー > 権限マネージャー」から、カメラやマイク、位置情報の権限を確認し、使っていないアプリの権限は削除(無効化)してください。

⑦ 常に安全な接続を使用

Chromeの設定で「常に安全な接続を使用する(HTTPS優先)」をオンにしてください。暗号化されていない危険なサイトへのアクセス前に警告が出るようになります。

 

5. まとめ

モバイルセキュリティにおいて、「100%安全」な状態は存在しません。しかし、上記の対策を組み合わせることで、リスクを劇的に減らすことができます。

まずはSMS認証をやめる」「パスワードを使い回さない」「OSを最新にする」という3つの基本から始めてみてください。あなたの情報は、あなた自身の手で守りましょう。

参照元:米国サイバーセキュリティ・インフラストラクチャセキュリティ庁 (CISA) ガイドライン

 

記載者:片山 昌樹(セキュリティ&マネージド事業部)

一覧に戻る