おサイフケータイってなくしたらどうなるの? セキュリティ面を検証してみた

やわなべです。

ついカッとなって、初めてのおサイフケータイに、使える電子マネーぜんぶ作ってみたんですが、「てかこれ、もしスマホなくしたら、いろいろ手続き面倒なんじゃね」、と初めて気づいた次第。

おサイフケータイで使える電子マネーぜんぶ使ってみるテスト

せっかく先日「端末をなくした場合の対応フロー」をまとめたばかりなのに、イレギュラーケースが一気に増えてしまいました。

電子マネーの中でも、クレジットカードとリンクさせてないWAONに関しては、チャージした金額以上の損害はないのでいいとして、他の4つ(iD / QUICPAY / 楽天Edy / Suica)は、がっつり手持ちのクレジットカードにリンクしてるんで、たとえ画面にスリープロックがかかった状態でも、他人がおサイフ機能を使えてしまいます。

先日検討した「端末をなくした場合の対応フロー」に従うと、端末紛失時に最初にすることは「Androidデバイスマネージャーから遠隔ロックをかける」というものでした。その際、ロック解除用にややこしいパスワード設定しておけば、とりあえず時間稼ぎはできるかな、と。

が、この遠隔ロックが、スリープ状態でも使えるおサイフ機能に及ばないのであれば、セキュリティ効果はゼロです。というわけで検証してみました。

スポンサーリンク

遠隔ロックをかけたスマホで、おサイフケータイは使えるのか?

検証する方法は単純。パソコンから、Androidマネージャのサイトにログインして、スマホに遠隔ロックをかけ、その状態で、おサイフケータイで支払いができなければセキュリティ的にセーフ。できたらアウト。

いや、まてよ。何もコンビニまで行って、恥を晒さなくても、もっと身近に検証できる環境があるじゃないですか。

P1030498.jpg

これ。iPadで電子マネーの残高確認&チャージができるようにと買ったPaSoRi(パソリ)です。

このパソリ、おサイフケータイ買った瞬間から無用の長物となってたわけですが、ロック状態のおサイフ通信ができるかどうかのテストはできます。

PaSoRiとiPadとをペアリングさせた状態で、ためしに楽天Edyのアプリを起動させ、おサイフケータイをかざすと、、、

P1030495.jpg

カード番号と、残高を読み取りました。PaSoRiアプリでは、他のSuica/WAONの残高と利用明細も確認できます。

さて、この状態でスマホをなくしてしまったと想定して、パソコンからロックをかけてみます。
Androidデバイスマネージャーのサイトにアクセスし、GooglePlayに使ってるGoogleアカウントでログイン。

ss61271.png

つい先日、避難訓練的にやったばっかりなんで慣れたもんです。

で、解除用のパスワードを設定して、ロックを掛けてみます。

ss61380.png

P1030489.jpg

スマホに間抜けなメッセージが表示されました。この状態で、もう一度PaSoRiにおサイフケータイをかざし、Edyの残高が見えるようなら、遠隔ロックかけても「おサイフ・イズ・スティル・アライブ」ってことですが、、、、

P1030492.jpg

これはPaSoRIアプリの画面ですが「カードアクセスエラー」となりました。同じようにSuicaも、WAONもエラー。というわけで遠隔ロック時にFelica通信はオフになる、と考えてよさそうです。

ただ、ひとつ気になったんですが、すでにスマホ側にパターンやパスワードなどのロック設定がされている場合、「デバイスマネージャー」での遠隔ロックパスワードを設定しても、元のロック設定を置き換えるものではないようです。

つまりいつものロック(=私の場合、パターンロック)を突破されたら終わりということ。スリープロックに複雑なロックかける人は少ないと思うんで、遠隔ロックも、あまり時間稼ぎにはならないと考えるべきなのかもしれません。

おサイフケータイサービスの公式なセキュリティは?

さて、おサイフケータイのサービス側としての公式なセキュリティ対策としてはどうなっているんでしょうか。調べてみました。(最初に調べろよ)

セキュリティについて | サービス・機能 | NTTドコモ

このページによると、おサイフ機能へのセキュリティとしては、「事前のセキュリティ対策」「紛失・盗難発生時に対応」の2つの仕組みがあるようです。

「事前のセキュリティ対策」ってのは、おサイフケータイ機能(NFC通信機能)そのものにパスワードロックを掛けるというもので、おサイフケータイの設定アイコンから設定することができます。

ただこれ、パスワードを設定しても、明示的に「NFCをロックする」としない限り、ロックは有効になりません。「しばらく使わないから、おサイフ機能にロックかけとこうか」みたいに、いちいちオフ・オンして使う人とかいるんでしょうか。

もうひとつの「紛失・盗難発生時に対応」は、どうやら「Androidデバイスマネージャー」の遠隔ロックをドコモが代行してくれるだけのよう。

私のようにMVNOのSIMを使ってる場合は、ドコモと直契約してるわけではないので、そもそもこのサービスは使えませんが、ドコモの正式ユーザーであっても、上のデバイスマネージャーでのロック以上のセキュリティではなさそう。

というわけでおサイフケータイへの電子マネー設定は、必要なものにとどめて、あまり使わない電子マネーは解除しておいた方がよさそうですね。