「スマホを落としても、パスワードをかけていれば大丈夫」——そう思っている人は多いはずです。実は、その認識は半分正解で半分間違いです。パスワード単体では確かに強力な防御になります。しかし、電車の中でパスワードを入力しているところを後ろの人に見られ、その直後にスマホを盗まれたら話は別です。この記事では、スマホのセキュリティを「まったくの初心者でもわかる言葉」で解説し、今日から実践できる対策を丁寧に紹介します。
① まず基本から:スマホのロックはどれだけ強い?
スマホのロックって何をしているの?
スマートフォンには「画面ロック」という機能があります。これは、スマホを使い始めるときに本人確認を求める仕組みです。認証方式には大きく分けて以下の種類があります。
| 認証方式 | 仕組み | 安全性の目安 |
|---|---|---|
| 暗証番号(PIN) | 4〜6桁の数字を入力 | △ 覗き見に弱い |
| パスワード(英数字) | 英字+数字の文字列を入力 | ○ 複雑なら強い/覗き見に弱い |
| パターンロック(Android) | 点を指でなぞる | △ 画面の指の跡で推測される恐れあり |
| 指紋認証 | 指を専用センサーに当てる | ◎ 覗き見対策に有効 |
| 顔認証(Face ID等) | カメラで顔をスキャン | ◎ 非常に高精度(Apple Face IDは特に強固) |
画面ロックをかけていれば、スマホを落としても第三者がすぐに中身を見ることはできません。これは事実です。
iPhone・Androidともに、画面ロックがかかっていれば、第三者がUSBケーブルでパソコンにつないでもデータは暗号化されており、簡単には取り出せません(iPhoneのAES-256暗号化、AndroidのFBE方式)。ただしこれは「パスワードを知られていない場合」に限った話です。
具体的にどれくらい強いの?数字で見てみよう
4桁のPINコードの組み合わせは 10,000通り。6桁なら 1,000,000通り です。スマホには通常、一定回数間違えるとロックされる「試行回数制限」があるため、闇雲に試すことはほぼ不可能です。
iPhoneの場合、6回間違えると1分間ロック、さらに続けると最終的には「このiPhoneは無効です」と表示され、完全にロックアウトされます(設定によってはデータ消去も)。Androidも機種によりますが同様の制限があります。
つまり、パスワードを知らない他人がスマホを拾っても、力づくで解除するのは現実的にほぼ不可能です。これが「パスワードをかけていれば基本は安全」と言われる理由です。
② でも「覗き見+盗難」の組み合わせは別次元の危険
「ショルダーハッキング(ショルダーサーフィン)」とは?
セキュリティの世界では、人が入力しているパスワードや暗証番号を後ろや横から覗き見て盗む行為を 「ショルダーサーフィン(Shoulder Surfing)」 または 「ショルダーハッキング」 と呼びます。
肩越し(shoulder)に見る、という意味で名付けられたこの手口は、古くは銀行のATMで行われていました。しかし現在では、スマートフォンが普及したことで、電車・カフェ・オフィス・スーパーのレジなど、あらゆる場所でリスクが広がっています。
ショルダーサーフィンは特別な機材が不要な「ローテク」な攻撃です。悪意ある人間が「ちょっと見るだけ」で成立します。スマホのパスワードを入力する際は、周囲への注意が必要です。
最悪のシナリオ:覗き見+盗難の「2ステップ攻撃」
問題は、ショルダーサーフィン単体ではなく、スマホを盗むこととセットになった場合です。手順は以下のようになります。
- ターゲットを決める:電車・カフェ等でスマホを操作している人を見つける
- パスワードを盗み見る:後ろや横からPINコードや数字パスワードを記憶する
- スマホを盗む:置き引き・すり・「ぶつかり盗難」など手口はさまざま
- パスワードを入力して解除:記憶したコードを入力し、即座にロックを解除
- 個人情報・お金を奪う:銀行アプリ・PayPay・LINE・メール等にアクセス
このシナリオが成立してしまうと、スマホの暗号化や試行回数制限はまったく意味をなしません。なぜなら、犯人は「正しいパスワード」を知っているからです。高性能な金庫の番号を教えてしまうのと同じことです。
実際に起きている事件:iPhoneを標的にした新手の盗難
この「2ステップ攻撃」は、すでに世界中で実際の犯罪として報告されています。2023年、米国のウォール・ストリート・ジャーナル(WSJ)が報じた調査によれば、バーや繁華街でiPhoneのパスコードを覗き見てから端末を盗む犯罪が急増していることが明らかになりました。被害者はApple IDのパスワードを変更された上、iCloudアカウント、銀行アプリ、写真データすべてを失っています。
日本でも電車内でのスマホ置き引き・すりは増加傾向にあり、警視庁の発表でもスマホを狙ったすり・置き引きへの注意喚起が行われています。
「自分は大丈夫」と思いがちですが、犯人はターゲットを選びません。スマホを操作しているだけで対象になりえます。特に、ポケットや手から離してテーブルに置く習慣がある人は要注意です。
③ スマホを盗まれたら何をされるのか?具体的な被害を知ろう
パスコードが破られた状態でスマホを奪われると、以下のような被害が連鎖的に起きます。
被害①:銀行・キャッシュレス決済アプリへの不正アクセス
PayPay・楽天Pay・LINE Pay・各銀行アプリ・証券アプリなど、スマホには金融サービスが集まっています。一度アプリを開かれると、残高の送金・振込・ショッピングが即座に実行できます。特にPayPayのような残高型決済は、送金機能を使って他人の口座に一瞬で送られてしまいます。
被害②:Apple ID / Googleアカウントの乗っ取り
iPhoneなら「設定アプリ」を開くだけで Apple ID のパスワードを変更できます(本人確認がスマホのパスコードで完結するため)。一度 Apple ID を乗っ取られると、iCloudの写真・メモ・連絡先・バックアップすべてが他人の手に渡ります。さらに「iPhoneを探す」機能もオフにされ、遠隔ロック・消去ができなくなります。
Apple IDのパスワード変更は、スマホのパスコードさえあれば「現在のApple IDパスワードを知らなくても」できてしまいます。これはAppleが利便性のために設けた仕様ですが、盗難時には最大の弱点になります。この仕様はAppleも認識しており、対策機能(後述)を追加しています。
被害③:LINEアカウントの乗っ取りと詐欺への悪用
LINEはスマホのロック解除さえできれば、アプリを開いてすぐに全トーク・友達リストにアクセスできます。犯人は被害者のふりをして友人に「お金を貸して」とメッセージを送る「なりすまし詐欺」に悪用します。被害は自分だけでなく、家族・友人にまで及ぶのが特徴です。
被害④:メールを使ったSNS・他サービスの芋づる式乗っ取り
メールアプリが開ける状態になると、各種サービスの「パスワードを忘れた場合」機能を使って芋づる式に乗っ取ることができます。Instagram、Twitter(X)、Amazon、楽天など、メールアドレスと紐付いているすべてのサービスが対象になります。
被害⑤:写真・動画・プライベート情報の流出
写真アルバム、メモアプリ、スキャンした書類(マイナンバーカード、免許証、パスポート等)が盗まれれば、なりすまし犯罪(本人確認書類の悪用)に使われる危険があります。また、プライベートな写真・動画が脅迫材料にされるケースも報告されています。
④ iPhoneとAndroid、それぞれのセキュリティの仕組みを比べてみよう
iPhoneのセキュリティ構造
iPhoneは「セキュア・エンクレーブ(Secure Enclave)」という専用チップを搭載しており、指紋データ・顔データ・暗号化キーをこのチップの中だけで管理しています。本体の主プロセッサとも切り離されており、非常に高い安全性を持っています。
| 機能 | 詳細 |
|---|---|
| Face ID(顔認証) | 赤外線カメラ+ドットプロジェクターで3万点の顔の凹凸をスキャン。他人が解除できる確率は約100万分の1とAppleが発表 |
| Touch ID(指紋認証) | 他人が解除できる確率は約5万分の1 |
| データ暗号化 | 全ストレージをAES-256で暗号化。パスコードが鍵になる |
| 試行回数制限 | 6回失敗でロック、設定次第でデータ消去 |
| 盗難デバイスの保護(iOS 17.3〜) | 見慣れない場所でのApple ID変更に追加認証を要求(後述) |
AndroidのセキュリティAAndroid
Androidは機種によって作るメーカーが異なるため(Samsung、Google Pixel、OPPO等)、セキュリティの実装にばらつきがあります。ただし、現代のAndroidは基本的に非常に高いセキュリティを持っています。
| 機能 | 詳細 |
|---|---|
| ファイルベース暗号化(FBE) | Android 7.0以降で採用。ファイルごとに暗号化されるため、より堅牢 |
| Google Titan Mチップ(Pixel) | iPhoneのセキュア・エンクレーブに相当するセキュリティチップをGoogle Pixelが搭載 |
| 指紋・顔認証 | 多くの機種で対応。ただし顔認証の精度は機種差が大きい(2D認証は精度が低いものもある) |
| Googleの「デバイスを探す」 | iPhoneの「探す」に相当。遠隔ロック・消去・位置確認が可能 |
| スマートロック | 自宅など信頼できる場所では自動解除(設定推奨外:リスクあり) |
⑤ 今日からできる!7つの具体的な対策
対策①:生体認証(指紋・顔)をメインにする
最も効果的な「覗き見対策」は、入力が不要な生体認証をメインの解除方法にすることです。指紋認証や顔認証なら、後ろから覗かれても何も盗む情報がありません。
【設定方法:iPhone(Face ID)】
- 「設定」アプリを開く
- 「Face IDとパスコード」をタップ
- パスコードを入力(既に設定している場合)
- 「Face IDをセットアップ」をタップ
- 画面の指示に従い顔をスキャン(2回)
【設定方法:Android(指紋認証 ※機種により異なる)】
- 「設定」アプリを開く
- 「セキュリティとプライバシー」または「ロック画面とセキュリティ」
- 「指紋ロック解除」または「生体認証」をタップ
- 画面の指示に従い指紋を登録(複数の角度で)
生体認証を設定すると、通常のロック解除では数字・文字を「入力しない」ので、覗き見されても意味がありません。再起動後や未使用が48時間を超えた場合はパスコードが必要になりますが、その際は周囲をよく確認してから入力しましょう。
対策②:パスコードを「6桁以上」または「英数字混合」にする
4桁のPINは1万通りしかありません。6桁にすると100万通りになります。さらに「カスタムの英数字コード」にすると、組み合わせは事実上無限になります。
【設定方法:iPhone】
- 「設定」→「Face IDとパスコード」
- 「パスコードを変更」→現在のパスコードを入力
- 「パスコードオプション」をタップ
- 「カスタムの英数字コード」を選択
- 大文字・小文字・数字・記号を含む10文字以上のパスワードを設定
ただし、複雑にしすぎると自分が入力するときに時間がかかり、その分「覗き見」のリスクが上がります。生体認証をメインにして、パスコードは「緊急時のバックアップ」として設定するのが現実的なバランスです。
対策③:iPhoneユーザー必須「盗難デバイスの保護」をONにする(iOS 17.3以降)
Appleは2024年1月にリリースしたiOS 17.3で「盗難デバイスの保護(Stolen Device Protection)」という機能を追加しました。これはまさに「覗き見+盗難」の2ステップ攻撃に対応した機能です。
この機能を有効にすると何が変わる?
- 自宅や職場など「見慣れた場所」以外でApple IDのパスワードを変更しようとすると、Face ID/Touch IDによる生体認証が必須になります
- さらに、パスワード変更後に1時間のセキュリティ遅延が発生します(この間に本人が気づいて「iPhoneを探す」で操作できる猶予が生まれる)
- パスコードだけでの変更ができなくなるため、パスコードを知られていても Apple ID を守れます
【設定方法:iPhone(iOS 17.3以降)】
- 「設定」アプリを開く
- 「Face IDとパスコード」をタップ
- パスコードを入力
- 「盗難デバイスの保護」をオンにする
iOS 17.3以降のiPhoneを使用中の方は、今すぐこの設定をONにしてください。覗き見+盗難のシナリオに対して最も直接的な防御になります。設定にかかる時間は30秒です。
対策④:スクリーンタイム/デジタルウェルビーイングで銀行アプリをロックする
iPhoneの「スクリーンタイム」機能を使うと、特定のアプリを開くために別のパスコードを要求するよう設定できます。画面ロックのパスコードとは別のパスコードにすることで、仮に画面ロックを突破されても銀行アプリを守る「二重の壁」が作れます。
【設定方法:iPhone(スクリーンタイムでアプリロック)】
- 「設定」→「スクリーンタイム」
- 「スクリーンタイムをオンにする」
- 「スクリーンタイム・パスコードを使用」で画面ロックとは別のパスコードを設定
- 「コンテンツとプライバシーの制限」→「許可されたApp」または「Appの制限」で特定アプリに制限をかける
Androidの場合は、機種によって「アプリロック」機能が備わっているものがあります(Samsung・OPPOなど)。ない場合はGoogleの「デジタルウェルビーイング」設定内の機能や、サードパーティのセキュリティアプリを利用します。
スクリーンタイムのパスコードは、画面ロックのパスコードと「同じにしない」ことが重要です。同じにしてしまうと二重保護の意味がなくなります。また、スクリーンタイムのパスコードを忘れると解除が非常に難しくなるため、安全な場所に控えを残しておきましょう。
対策⑤:銀行アプリ・決済アプリ内の「アプリ内生体認証」を必ず有効にする
ほとんどの銀行アプリ・決済アプリには、アプリを開くたびに指紋・顔認証を求める設定があります。これを有効にしていると、画面ロックが解除されていてもアプリへのアクセスに生体認証が必要になります。
代表的なアプリでの設定場所:
- PayPay:マイページ → セキュリティ → 生体認証 → オン
- 三菱UFJダイレクト:アプリ設定 → 生体認証ログイン → 登録
- 楽天銀行:設定 → ログイン設定 → 生体認証ログイン
- LINE Pay:LINE → ウォレット → LINE Pay → 設定 → セキュリティ
アプリ内の生体認証は「スマホのロックとは独立した認証」です。画面ロックのパスコードを盗まれた場合でも、アプリを開く際に再度 Face ID / 指紋が要求されるため、金融被害を防ぐ最後の砦になります。
対策⑥:「iPhoneを探す」「デバイスを探す」を必ず有効にする
紛失・盗難時の対応として、遠隔操作でスマホをロック・消去できる機能は必ず有効にしておきましょう。
【iPhone:「iPhoneを探す」設定確認】
- 「設定」→ 一番上の自分の名前をタップ
- 「探す」→「iPhoneを探す」をオン
- 「最後の位置情報を送信」もオンにする(電池切れ直前の位置を記録)
【Android:「デバイスを探す」設定確認】
- 「設定」→「セキュリティ」→「デバイスを探す」をオン
- または「設定」→「Google」→「セキュリティ」→「デバイスを探す」
紛失・盗難に気づいたら、別のスマホやパソコンから以下のサイトにアクセスしてください:
- iPhone:icloud.com/find(Apple IDでログイン)
- Android:google.com/android/find(Googleアカウントでログイン)
できること:地図上での現在地確認・音を鳴らす・画面にメッセージを表示・完全消去
「デバイスを探す」機能は、スマホのネットワーク接続が必要です。犯人がすぐに機内モードにしたり電源を切ったりすると位置が追えなくなります。そのため、気づいた瞬間に速やかに遠隔ロックをかけることが重要です。ロック後は追跡よりも「警察への届け出」を優先してください。
対策⑦:電車・外出先でのパスワード入力「5つのルール」
技術的な設定以外に、日常の習慣も大切です。以下のルールを意識してください。
- 生体認証を使う習慣をつける:PIN入力を極力避け、Face ID / 指紋をメインにする
- 手でかがむ・体を傾ける:やむを得ずPINを入力する場合は、画面を体でかくして入力する
- プライバシーフィルムを貼る:覗き見防止フィルム(のぞき見防止フィルター)を画面に貼ると、正面以外からの視認が難しくなる。数百円〜千円台で購入可能
- スマホをテーブルに置きっぱなしにしない:カフェ・レストランでの置き引きが増えている。席を立つときは必ず持参する
- スマホを「ひも付き」にする:スマホショルダーやストラップで体に固定すると、すりの被害を大幅に減らせる
⑥ もし盗まれてしまったら:被害を最小限にする緊急対応フロー
万が一スマホが盗まれた場合の対応を時系列で整理します。焦らず、この順番で動きましょう。
| 優先度 | やること | 方法 |
|---|---|---|
| ①最優先 | 遠隔ロック | 別のスマホ・PCからicloud.com/find または google.com/android/findにアクセスして即座にロック |
| ② | 銀行・決済アプリの利用停止 | 各銀行のフリーダイヤルやアプリ公式サイトの緊急停止ページから手続き。PayPayは公式サイト「利用停止」から |
| ③ | Apple ID / Googleアカウントのパスワード変更 | 別端末からすぐに変更。これにより盗難端末からのアカウントアクセスを遮断 |
| ④ | キャリアに連絡(回線停止) | ドコモ:151、au:157、ソフトバンク:157(24時間対応)。SIMを悪用したSMS認証詐欺を防止 |
| ⑤ | 警察への届け出 | 最寄りの警察署または交番に「盗難届」を提出。保険・補償の手続きに「受理番号」が必要な場合がある |
| ⑥ | LINEアカウントの利用停止 | LINE公式サイトの「アカウントの一時停止」フォームから手続き。乗っ取り詐欺を防止 |
「盗難デバイスの保護」をONにしていれば、犯人がApple IDを変更しようとしても1時間の遅延が発生します。この1時間が被害を止める「ゴールデンタイム」です。気づいたら即座に動いてください。
⑦ よくある質問(Q&A)
Q. パターンロック(Androidの指なぞり解除)は安全ですか?
A. パターンロックは画面の指の跡(スミア攻撃)や覗き見に比較的弱いとされています。セキュリティ研究者の調査では、画面に残った指の油分から入力パターンを推測できる場合があると報告されています。セキュリティを重視するなら、パターンロックよりPINコードまたは英数字パスワード+生体認証をおすすめします。
Q. 指紋認証は強制的に解除させられることはありますか?
A. 理論的には、犯人が被害者を物理的に脅して指を当てさせることはできます(いわゆる「$5レンチ攻撃」とセキュリティ業界では呼ばれる問題)。これに対してAppleはiOS 11以降「SOS」機能で対応しています。電源ボタンを5回素早く押すとSOSモードになり、生体認証が無効化され、パスコードのみの入力になります。日本では110番または119番への発信もできます。
Q. 顔認証は写真で突破できますか?
A. iPhoneのFace IDは3Dスキャン方式のため、2Dの写真や動画では突破できません。Appleのテスト(双子、整形後の顔等)でも非常に高い信頼性が確認されています。一方、Androidの一部機種(特に廉価モデル)は2Dカメラによる顔認証を採用しており、写真で突破できる可能性があります。Androidユーザーは指紋認証の方が確実です。
Q. 海外旅行中はどんなことに気をつければいいですか?
A. 海外では「スマホスナッチ(ひったくり)」が非常に多いです。歩きながらのスマホ操作は極力避け、使う際は壁を背にした姿勢で。ホテルや宿泊先の金庫にパスポートのコピーや予備のカードを入れておくと、スマホ盗難後の対応がスムーズです。
Q. スマホ保険は入った方がいいですか?
A. 盗難に対応したスマホ保険はありますが、「紛失」と「盗難」の定義が異なります。盗難は「被害届の受理番号」が必要なことが多いため、必ず警察への届け出を行いましょう。キャリアのスマホ補償サービス(月額数百円)に加入している場合、盗難でも適用されるものもあるので確認してみてください。
まとめ:スマホのセキュリティは「組み合わせ」が全て
この記事でお伝えしたかったことを一言でまとめると、「1つの対策だけでは不十分で、組み合わせることで初めて強固な防御になる」ということです。
| 対策 | 防げる脅威 | 設定の難しさ |
|---|---|---|
| 生体認証をメインにする | 覗き見によるパスワード漏洩 | ★☆☆(簡単) |
| パスコードを6桁以上・英数字に | ブルートフォース攻撃 | ★☆☆(簡単) |
| 盗難デバイスの保護(iOS) | 盗難後のApple ID乗っ取り | ★☆☆(簡単) |
| アプリ内生体認証の有効化 | 金融アプリへの不正アクセス | ★★☆(やや手間) |
| 「iPhoneを探す」有効化 | 盗難後の遠隔ロック・消去 | ★☆☆(簡単) |
| のぞき見防止フィルム | 物理的な覗き見 | ★☆☆(簡単) |
| スマホストラップ・固定 | すり・置き引き | ★☆☆(簡単) |
難しい知識はまったく必要ありません。今日の記事で紹介した対策のほとんどは、5〜10分の設定で完了します。大切なのは「後回しにしない」こと。被害に遭ってから後悔しても、流出した情報は戻りません。
この記事を読んだ今日、以下の3つだけでもすぐに設定してみてください。①生体認証の有効化、②「盗難デバイスの保護」のON(iPhoneユーザー)、③「iPhoneを探す / デバイスを探す」の確認。これだけで、リスクを大幅に下げることができます。
次回の記事では「公共のWi-Fiは危険?スマホを守るVPNの使い方」を解説する予定です。セキュリティの不安を一緒に解消していきましょう。
コメント