政治家・弁護士・経営者のためのAntiSpyPhone運用ルール ― 設定よりも大切な「5つの習慣」
AntiSpyPhoneは、いま手に入るスマートフォンの中でも、攻撃に対してとても強い環境です。
とはいえ、どんなに頑丈な家でも、玄関を開けっぱなしにしていたら意味がありませんよね。
スマートフォンも同じで、最後に守りを完成させるのは「使い方」です。
とくに政治家・弁護士・経営者のように、「狙う価値のある情報」をお持ちの方は、不特定多数を狙ったばらまき型の攻撃ではなく、あなた個人を狙った「標的型攻撃」の対象になることがあります。
実際に、PegasusやPredatorといった高度なスパイウェアが、各国の政治家や弁護士、ジャーナリストに対して使われてきたことが報告されています。
この記事では、AntiSpyPhoneを「高価なだけの普通のスマホ」にしないための運用ルールを、5つのテーマに分けてご紹介します。
難しい設定の話は最小限にして、「毎日の判断のしかた」に重点を置きました。
どんな相手を想定しているのか
まず前提として、この記事では次の3つの脅威を想定しています。
・リンクや添付ファイル、通信経路を使って、遠くから端末への侵入を試みる攻撃者
・端末そのものを奪ったり押収したりして、中のデータを取り出そうとする相手
・自分ではなく、通信相手や周囲のスタッフの端末が乗っ取られてしまうケース
アンチスパイフォンにはこの3つに対応する防御機能が備わっていますが、それを活かすには「使う側のルール」が必要です。順番に見ていきましょう。
ルール1 届いたリンクは「開かない」と決めてしまう
標的型攻撃の入り口として、いちばん多いのがメッセージで届くリンクや添付ファイルです。
最近は操作しなくても感染する「ゼロクリック攻撃」も存在しますが、それでも多くの攻撃は、本人にタップさせる「ワンクリック型」です。
つまり、ここは技術ではなく習慣で防げる部分なのです。
基本の考え方はとてもシンプルです。
「届いたリンクからは開かない。自分でアクセスし直す」。これだけです。
銀行や官公庁、取引先を名乗るメッセージが来ても、その中のリンクは触らず、ブラウザのブックマークや公式アプリから自分でアクセスし直してください。
本物の連絡なら、それで必ず用件にたどり着けます。
短縮URLや、心当たりのない送信者からのリンクは、そもそも無視してかまいません。
そして「至急」「本日中に」「アカウントが停止されます」といった、判断を急がせる言葉が出てきたら、それ自体を「怪しいサイン」として受け取ってください。
AntiSpyPhone側にも、この習慣を支えてくれる仕組みがあります。
・ウェブを見るときは、標準ブラウザのVanadium(ヴァナジウム)に統一しましょう。
GrapheneOSのために強化されたブラウザで、悪意のあるページを開いてしまったときの耐性が、ふつうのブラウザより高く作られています。
・PDFファイルは、端末に入っているSecure PDF Viewerで開きます。
万一細工されたPDFでも、被害を閉じ込めやすい仕組みになっています。
とはいえ、送り主のわからない文書はそもそも開かないのが一番です。
・メッセージアプリの「リンクプレビュー」(URLの下に画像や見出しが自動で出る機能)はオフにしておきましょう。
プレビューを作るために端末が勝手にそのURLへアクセスすること自体が、攻撃のきっかけになることがあるためです。
「リンクを開くのは、自分でアドレスを確かめたときだけ」。
この合言葉を秘書やスタッフの方とも共有できると、チーム全体の守りがぐっと強くなります。
ルール2 アプリは「入れない」のがいちばんの防御
インストールしたアプリは、一つひとつが攻撃の入り口になり得ます。
アンチスパイフォンはアプリを厳重な「檻」(サンドボックス)に閉じ込めてくれますが、そもそもアプリがなければ、そのアプリ経由の攻撃も、そのアプリによるデータ収集も起こりようがありません。
判断の基準はこうです。
「あると便利」では入れない。「ないと仕事が止まる」ものだけを入れる。
SNSやニュース、ポイントカードのようなアプリは、できるだけアプリを入れずに、Vanadiumでウェブサイト版を使うようにしましょう。
Google Playが必要なアプリのために使う「Sandboxed Google Play」も、必要な区画にだけ入れるのがコツです(区画の話は次のルールで説明します)。
また、すでに入っているアプリについても、位置情報・マイク・カメラ、そしてアンチスパイフォン独自の「ネットワーク」の権限を、3か月に一度くらいのペースで見直してみてください。
使っていないアプリは「いつか使うかも」ではなく、思い切って削除しましょう。
弁護士の方なら依頼者の情報が、経営者の方なら公開前の経営情報が、その端末に入っています。
アプリを1本入れるたびに、「このアプリの開発元に、この端末の存在を知られてもいいだろうか」と一度だけ自問する。
この小さな習慣が効いてきます。
ルール3 プロファイル分離 ― 万一のときも「区画」で被害を止める
アンチスパイフォンの実務上いちばんの強みが、この「プロファイル」による区画分けです。
マンションの部屋のように、区画ごとにアプリもデータも完全に分かれていて、それぞれが別々の鍵(暗号化キー)で守られています。
仮にひとつの区画でアプリが乗っ取られても、隣の区画のデータには手が届きません。
リスクの高いお仕事の方には、たとえば次のような4区画構成をおすすめしています。
・オーナープロファイル(母屋):端末の管理だけに使い、中身はほぼ空にしておく
・仕事用プロファイル:Signalなどの大事な連絡と、仕事に必須のアプリだけ
・Private Space(プライベートスペース):銀行アプリと認証アプリの専用金庫
・セカンダリユーザー:SNSなど、リスクが高めのアプリの隔離部屋
大事なポイントは3つです。
ひとつめは、オーナープロファイルを「空」に保つこと。
オーナー区画は端末が起動している間ずっと開いた状態になるので、ここには機密を置きません。
ふたつめは、大事な通信とリスクの高いアプリを同じ区画に同居させないこと。
SNSアプリと依頼者とのやり取りが同じ部屋にある、というのがいちばん危ない状態です。
みっつめは、セカンダリユーザーの「セッション終了」を活用すること。
使い終わってログアウトすると、その区画の鍵がメモリから消えて、端末の電源が入ったままでも、その区画だけは金庫に戻ったのと同じ状態になります。
なお、「Private Spaceとセカンダリユーザーはどちらが安全なの?」とよく聞かれますが、保存されたデータの暗号化の強さ自体はどちらも同等です。
違いは、同じ画面の中で手軽に使えるのがPrivate Space、ログアウトで鍵ごと閉じられるのがセカンダリユーザー、という使い勝手の部分です。
このあたりは、銀行アプリの分離をテーマにした別の記事で詳しくご紹介しています。
ルール4 「大事な話は何でするか」を先に決めておく
通信の中身を守るには、自分の端末だけでなく、相手までの経路全体を考える必要があります。
ここは「その場その場で選ぶ」のではなく、あらかじめルールとして決めておくのがポイントです。
・機密性の高い会話は、エンドツーエンド暗号化(送り手と受け手だけが読める暗号化)のメッセンジャーに一本化しましょう。
実績と信頼性の面で、第一候補はSignal(シグナル)です。
相手と使い始めるときに「安全番号」の照合まで済ませておくと、なりすましの心配も減らせます。
・SMS(ショートメッセージ)と、ふつうの音声通話は、機密の用途には使わないでください。
携帯電話会社の網を通るこれらの通信には強い暗号化の保証がなく、SMSは詐欺やフィッシングの主要な経路にもなっています。
・Signalの「消えるメッセージ」機能を、仕事のやり取りの標準にしておきましょう。
将来もし端末が奪われたり押収されたりしても、残っている情報そのものが少なければ、被害も小さくて済みます。
・電話番号をログインや本人確認の手段にしないこと。
各種サービスの2段階認証は、SMSではなく認証アプリに切り替えておくと、電話番号を乗っ取る「SIMスワップ」という攻撃への備えになります。
・LINEのような国内で標準的なツールを完全にやめるのは、現実には難しいと思います。
使う場合は、セカンダリユーザーという「隔離部屋」に閉じ込めたうえで、「機密の話題はそこには書かない」という線引きだけは守ってください。
弁護士の方には、依頼者との通信手段そのものを受任のときに取り決めておくことをおすすめします。
「機密のやり取りはSignalだけ。
メールやSMSは事務連絡のみ」と最初に共有しておくのが確実です。
ルール5 バックアップ ― 「消える前提」で、暗号化して手元に備える
リスクの高い使い方をする以上、端末は「いつか失われるもの」と考えておきます。
紛失、押収、そしてあとでご紹介する緊急消去。
どの場合でも、バックアップがなければ仕事が止まってしまいます。
ただし、バックアップ自体が「第二の狙われどころ」になるので、置き場所と暗号化が大切です。
・GrapheneOSに組み込まれているバックアップ機能(Seedvault)は、最初はオフになっています。
有効にしたうえで、保存先はUSBメモリか、事務所内のNAS(WebDAV)を選び、クラウドには預けない構成を基本にしましょう。
バックアップの中身は端末側で暗号化されてから保存されます。
・復元に必要なリカバリーコードは、端末とは別の場所に、紙で保管してください。
金庫や事務所の施錠できる棚など、物理的に管理できる場所が適しています。
・一度は「復元の練習」をしておきましょう。
バックアップは、戻せて初めてバックアップです。
実際に試すと、一部のアプリは復元後に再インストールや再ログインが必要になることがわかります。
緊急時に慌てないための予行演習だと思ってください。
・Signalの履歴のように、アプリ自身がバックアップ機能を持っているものは、そちらも併用しましょう。
OSのバックアップだけですべてが戻るとは考えないのが安全です。
・USBメモリやNASといったバックアップの入れ物について、「誰が管理するか」を決めておきましょう。
媒体をなくすことは、端末をなくすことと同じ意味を持ちます。
ちなみに、GrapheneOSプロジェクトは将来、Seedvaultを自前のバックアップ機能に置き換える方針を示していますが、時期はまだ決まっていません。
いまはSeedvaultを前提に体制を作り、新しい情報を待つのが現実的です。
補足 端末そのものを奪われたときの備え
最後に、5つのルールに加えて、端末そのものを奪われたり押収されたりする場面への備えを確認しておきましょう。
いずれもアンチスパイフォンに標準で備わっている機能です。
・画面ロックは、強めのパスフレーズか長めのPINで。日常の解錠には「指紋+確認用PIN」の組み合わせが、使いやすさと安全のバランスに優れています。
・「自動再起動」という機能があります。
一定時間ロックを解除しないでいると、端末がひとりでに再起動して、メモリ上の鍵が消えた、いちばん守りの固い状態に戻る仕組みです。
初期設定では18時間ですが、リスクの高い時期には数時間まで短くする使い方もできます(10分から72時間まで選べます)。
・USB-Cポートの制御は、初期設定の「ロック中は充電のみ」のままにしておいてください。
ロックされた端末にケーブルをつないでデータを吸い出そうとする攻撃への対策です。設定がゆるめられていないか、ときどき確認しましょう。
・「デュレスPIN」という緊急用の機能もあります。
解除を強要されたときにこの番号を入力すると、端末とeSIMのデータが、その場で元に戻せない形で消去されます。
ただし、状況によっては証拠隠滅などの法的な問題を問われる可能性のある機能でもあります。
導入するかどうかは、必ず顧問弁護士などと法的なリスクを確認したうえで判断してください。
使う場合は、直前にご紹介したバックアップ体制が整っていることが大前提です。
毎日のチェックリスト
最後に、この記事の内容を毎日の行動に落とし込むと、次のようになります。
・届いたリンクは開かない。自分でアクセスし直す
・新しいアプリは「ないと仕事が止まるか」で判断する
・大事な会話はSignal(消えるメッセージをオン)だけで行う
・銀行と認証はPrivate Space、SNSはセカンダリユーザーから外に出さない
・定期的にバックアップを取り、入れ物は物理的に管理する
・自動再起動とUSB-C制御の設定がゆるんでいないか、月に一度は確認する
AntiSpyPhoneの本当の価値は、OSの堅牢さと、毎日の使い方の掛け算で決まります。
設定は一度きりですが、ルールは毎日の小さな判断の積み重ねです。
この記事が、その判断のよりどころになればうれしいです。

