Sponsored Contents

OSの最新記事

Image credit:

ガジェット修理の際、メーカーにパスワードを教える? 教えない?(テクニカルライター 笠原一輝)

笠原一輝(Kazuki Kasahara) , @KazukiKasahara
2015年9月28日, 午後01:20 in Os
541 シェア
163
158
35
16
169

連載

注目記事

人気記事



PC業界テクニカルライター、笠原一輝です。

非常に個人的な話で恐縮なのだが、家族のために買ったタブレットが壊れてしまったので、修理に出すことになった。その時に、そのサポート担当者が発した一言に筆者は心底びっくりしたのだが、どうも周りの人の意見を聞いてみると、むしろびっくりした筆者の方が世間知らずだったようだ......

メーカーの修理担当者の「パスワード教えてください」に唖然......

今年の2月だったか、3月だったかに、筆者は家族のために新しいAndroidタブレットを買った。値段が手頃だったのと、SIMフリーのLTEモデムが入っているのに低価格だと思ったので購入したのだ。ところが、運の悪いことに、買ってから半年ぐらいで電源が入らないようになってしまった。家族には、筆者が以前使っていた別のタブレットを渡ししてそれを使ってもらうことにして、その壊れたAndroidタブレットを修理に出すことにした。なぜなら買ってから半年程度しか使っていなかったので、保証期間(1年間)内だったからだ。

サポートに電話をすると、電源を長押ししてみてくれとか、USBケーブルを挿したりとか、別のUSB形状のACアダプタに挿してみたらどうなるかなどの質問をされて、それにつきあって検証をしながら、やっぱり電源が入らない症状で決まりということになった。そこで、返送先などを聞きながら、他にしておくべき事はないかと聞いてみると、次にサポート担当の方が筆者に言った一言が筆者に大きな衝撃を与えたのだ。

サポート「パスワードないしはPINコードを紙に書いて一緒に同梱してください」


思わず、「え、紙に書いて同梱しろですか?」とびっくりして聞き返すと、担当の方はさもあたり前のように「そうです」と筆者に言うのだ。筆者が「パスワードにしろ、PINコードにしろ、そういうセキュリティに関わることを他人に教えることはできません」というと、今度は担当者方の方が狼狽を始めて「え、なぜだめなんですか...」という質問をしてくる状態に。段々と申し訳なくなってきたので「パスワードにしろ、PINコードにしろ教えられません。もし必要なら本体のストレージは初期化してかまいません」と説明して、それで納得してもらったのだが、筆者が一番びっくりしたのは、パスワードやPINコードを教えないというと、担当の人がびっくりしたことだった。つまり、普段はそれを教えてもらうのがあたり前であって、拒否する人の方が少ないのだろうと推測できるだろう。

メーカーがこのように聞くのは、ユーザー側にもメリットがあるないしは、あるいはユーザーからそうして欲しいというニーズが強いからだと考えられる。では、メーカーが、PCやタブレットの故障時にパスワードやPINコードをユーザーから聞いておくメリットは何だろうか?それはシンプルに、ユーザーの環境を破壊せずに動作確認ができるからだ。例えば、ストレージ(PCならHDDやSSD)そのものや、ストレージが半導体として実装されているメインボードが壊れてしまったときは致し方ないとしても、ユーザーのデータが入ったストレージが生かせる形で修理ができた場合には、その状態でユーザーに返したいと思うし、ユーザーもその方が幸せであるのは言うまでもないだろう。だが、メーカーとしては修理後にきちんとした動作検証をしたい。その時に、ユーザーのパスワードなり、PINコードがわかれば、きちっとOSにログインして動作確認を終えることができるだろう。仮にパスワードなりPINコードがわからなければ、OSをリカバリーするなどして初期化して初期状態で動作確認をするしかなくなるので、ユーザーとしても、「データが消えるぐらいならパスワード教える方がまし!」と考えている、そう言うことだろう。

既にログインアカウントがクラウドサービスのIDと一体化しているので、パスワード教えるのは非常に危険

だが、既にPINコードはともかく、ログインパスワードはメーカーの修理担当者であろうが誰であろうが、簡単には教えられなくなってきている。というのも、最近ではクライアント機器のログインIDが、クラウドサービスのIDと一緒になっている場合がほとんどだからだ。例えば、Windowsで言えば、Windows 7まではユーザーが自分で好きに決めたローカルアカウント名だったが、Windows 8以降では、Microsoftアカウント(旧Windows Live ID)と呼ばれるMicrosoftのクラウドサービス(OneDrive、Outlook.comなど)を利用するIDと同一のIDを利用してWindowsにログインするのが標準設定になっている(ローカルIDを設定して利用することもできる)。つまり、Microsoftアカウントを利用してWindowsのログインしている人が、パスワードを他人に教えた場合には、クラウドサービスのパスワードを教えてのと同義になってしまう。

もちろん、メーカーのサポートの関係者がそのパスワードを悪用するには、ユーザーのPCを見て、設定されているIDがなんなのかを意図的に知る必要があり、悪意を持っていない限りは問題がないかもしれないが、やろうと思えばそんなに難しい話ではないのも事実(Windows 10ではログインIDはログイン画面に表示される)だ。なお、同様のことは、GoogleのAndroidにおけるGoogleアカウントや、AppleのiOSにおけるApple IDにも言うことができる。最近ではスマートフォンを買い替えるときに、販売店などで特定のアプリをインストールするからその代わり値引きするという名目で、GoogleアカウントやApple IDのパスワードを教えてくれと言われる例があるという。その時にそれらのパスワードを平気で教える人は、明日からGoogleやAppleに保存しているデータ(メール、スケジュール、住所録、クラウドのデータすべて)がすべて盗み見られても不思議ではないということを認識すべきだ。

もう既に教えちゃったよという人もいると思うが、そういう人は今日今すぐにもパスワードを変更すべきだ。その上で以下の対策をとっておくと、今後修理に出すときにメーカーの修理担当者に「パスワードは...」と聞かれても困らずに済むだろう。

対策 1:PINコードをかける


特にWindows PCで、Microsoftアカウントを利用してログインしている場合には、必ずクライアント機器にはPINコードロックを設定することをお薦めする。というのも、パスワードが一番盗まれやすいのは、ユーザーが物理的にPCにパスワードを入力するときに盗み見られるというパターンが少なくないからだ。既に述べたとおり、MicrosoftアカウントはMicrosoftのクラウドサービスを利用するIDと同じなので、そのパスワードが流出すると、悪意をもって他のユーザーがメールやOneDriveのファイルを盗み見ることが可能になっているかもしれない。

しかし、PINコードは、あくまでクライアントにだけ設定されるパスワードということになるので、それを盗み見ても、クライアント機器そのものを盗まない限りはデータにアクセスすることができなくなる。つまり、Microsoftアカウントのパスワードを保護するのに有効な手段だと言うことができるだろう。ちなみに、PINコードは4桁と思い込んでいる人も多いが、PINコードは、8桁でも12桁でも設定可能。あんまり増やすと、いつも入力するのが面倒になるので、増やしすぎはお奨めしないが、桁数を増やすのはセキュリティ性の観点からは奨励される行為だ。

対策 2:2段階認証を導入する


Googleアカウントにせよ、Microsoftアカウントにせよ、2段階認証という仕組みが用意されている。これは、パスワード以外にもう1つの認証要素(例えば乱数生成機により生成される乱数など)を利用することで、他人がパスワードを知っていても、もう1つの認証要素を持っていなければ、アカウントにログインできなくする仕組みのことで、セキュリティ性をあげるには非常に有効なことだ。

例えば、Googleアカウントの場合には、Androidスマートフォン用に用意されているGoogle認証システムというソフトウェアを設定して二段階認証の設定ができる。具体的には、Google認証システムが生成する乱数とGoogleアカウントを紐付けることで、Google認証システムがインストールされているスマートフォンをユーザーが持っていなければGoogleにログインできないようにする仕組みで、パスワードだけの場合に比べて安全性は飛躍的に高まる。

対策 3:データは常にクラウドに置いておき、いつでもクライアント機器は初期化できるようにする


最後にこれはセキュリティを高めるという訳ではない(厳密に言えばセキュリティ性は低くなるが)が、自分のデータはすべてクラウドに置いておくか同期するようにしておくと、機器が壊れても困らないという点でお薦めだ。例えば、筆者の場合は、Windows PCのデータは、MicrosoftのクラウドストレージサービスOneDriveに写真を、ビジネスデータはビジネス向けのクラウドストレージOneDrive for Businessにアップロードして使っている。仮に、PCが故障したとしても、データは常にクラウド上にあるので、他のPCを引っ張りだしてきて、OfficeとかAdobeのアプリケーションをインストールして、あとはOneDriveの同期をかけるだけですぐに仕事を再開することができる。

実際、先週メインで使っていたPCが壊れたので、バックアップのPCに切り替えたのだが、切り替えにかかった時間はATOKと、Office、Adobeのアプリケーションをインストールする時間ぐらいで、1時間ちょっとで仕事を再開できた。あとは、OneDrive/OneDrive for Businessの同期を寝る前にでも仕掛けて終わるのを待つだけでいつもの環境に復活だ。そうしたら、壊れたらPCは初期化して、そのままメーカーへ修理へ出せる。もし「パスワードは...」と聞かれたら「パスワードはかかってません、初期化されています」と言えばいいから、話も早い。従って、筆者と一緒で「パスワードは...」と聞かれるのが嫌な人は、これが一番の対策なのかもしれない...
関連キーワード: OS, password, security, support
541 シェア
163
158
35
16
169

Sponsored Contents