標的はあなたのケータイ!? 個人情報が狙われている:組み込みシステムに迫りくる脅威(2)(2/3 ページ)
多機能化が進み、セキュリティリスクが高まっている携帯電話。そのリスクに含まれるほとんどが利用者にかかわるものばかりです。
携帯電話およびSIMカードのライフサイクル
以下は携帯電話およびSIMカードのライフサイクルの概要を示したものです。
開発段階
携帯電話製造メーカーにおいて携帯電話が企画され、設計書や仕様書などが作成される段階です。設計書や仕様書には、機密情報(動作手順、暗号化・復号に用いる鍵など)が記載されています。
一方、SIMカードは携帯電話事業者によって企画され、携帯電話事業者とICカード製造メーカーにおいて設計書や仕様書などが作成されます。しかし、開発段階では一般のICカードと同じであり携帯電話固有の情報は内部に存在しません。このため、この段階ではSIMカード内に保護すべき情報はありません。
製造段階
携帯電話製造メーカーの工場において携帯電話が製造される段階です。製造する携帯電話のハードウェアやソフトウェアのマスターとなる情報が保管されています。
SIMカードは、ICカード製造メーカーによって製造され、携帯電話事業者によって利用者を識別するためのIDが書き込まれます。携帯電話事業者は、このIDの一覧と割り当て状況を管理しています。
運用段階
携帯電話は、携帯電話事業者の店舗や販売代理店を通じて利用者の手に渡ります。利用者は自身や他人の個人情報(名前、電話番号、メールアドレスなど)を携帯電話内に記録します。また、音楽やカメラ機能を持つ携帯電話であれば、音声、音楽、画像、映像などのプライベートコンテンツを携帯電話内に保存することもあります。
一方、SIMカードは携帯電話事業者により、携帯電話の利用契約をした利用者に対して配布されます。SIMカードは、利用者が携帯電話事業者の変更を伴わない機種変更を行った場合でも、引き続き新しい携帯電話とともに利用されます。このため、一般的にSIMカードの運用段階の期間は携帯電話より長いといえます。
廃棄段階
携帯電話は、利用者による機種変更や利用停止などの理由で廃棄されます。利用者や携帯電話事業者によって個人情報やプライベートコンテンツなどは消去されて廃棄されることになっていますが、消去忘れもあり得ます。
SIMカードは、携帯電話事業者と利用者の間の利用契約が停止した時点で携帯電話事業者に返却されることになっています。しかし、返却されたSIMカードに利用者の情報が消去されずに残されたままであったり、SIMカードそのものの紛失などにより情報漏えいする可能性があります。
これらを図に表すと以下のようになります(図3)(図4)。
携帯電話およびSIMカードに含まれる「情報」とは?
また、携帯電話およびSIMカードには、以下の情報が内部に含まれていると考えられます(表3)(表4)(表5)。
| 保護資産 | 発生 | 説明 | |
|---|---|---|---|
| コンテンツ | 運用段階 | 音声、画像、動画などのマルチメディアデータ(商用コンテンツ利用時の著作権管理データおよびプライベートコンテンツなど)、コンテンツ利用履歴(コンテンツの利用履歴も保護することが重要)など | |
| 利用者情報 | 運用段階 | 携帯電話の利用に関する情報 ・利用の履歴(通話/着信/発信/メール) ・利用者情報(電話番号/メールアドレス) ・他人の情報(電話番号/メールアドレス) 利用者認証情報など |
|
| 機器情報 | 製造段階 | 携帯電話そのものに関する情報(機種、端末識別番号、シリアル番号など)、機器認証情報など | |
| ソフトウェアの設定データ | 製造段階 | 各ソフトウェアに固有の設定データ(動作設定、ネットワーク設定、権限設定、バージョンなど) | |
| ソフトウェア | 製造段階 | OS(Operating System)、ミドルウェア、アプリケーションなど。ファームウェアと呼ばれることもある | |
| 表3 携帯電話上の保護資産 | |||
| 保護資産 | 発生 | 説明 | |
|---|---|---|---|
| IMSI(International Mobile Subscriber Identity) | 製造段階 | 加入者識別番号 | |
| 利用者情報 | 運用段階 | 携帯電話の利用に関する情報など ・利用者情報(電話番号/メールアドレス) ・他人の情報(電話番号/メールアドレス) |
|
| コンテンツ | 運用段階 | 音声、画像、動画などのマルチメディアデータ(商用コンテンツ利用時の著作権管理データおよびプライベートコンテンツなど)、コンテンツ利用履歴(コンテンツの利用履歴も保護することが重要)など | |
| 表4 SIMカード(3G以降の携帯電話のみ)の保護資産 | |||
| 保護資産 | 発生 | 説明 | |
|---|---|---|---|
| 設計データ 内部ロジック |
開発段階 | 製品企画・設計段階で発生する仕様書・設計書などの設計情報 | |
| 表5 そのほか | |||
携帯電話の場合、利用者自身の個人情報に限らず、他人(利用者の関係者)の個人情報も含まれているのが特徴で、これらの情報が漏えいすると自身のみならず他人にも被害や危害を及ぼす可能性があります。
これらの情報について、携帯電話およびSIMカードのライフサイクルに当てはめて分類した結果を図5に示します。
図5を見てお分かりのとおり、システムに関する情報は製造段階で、利用者や利用者の関係者である他人に関する情報は運用段階で発生するもの多く、その中のほとんどが廃棄時に残っている、または残っている可能性があることが分かります。
Copyright © ITmedia, Inc. All Rights Reserved.