iOS 7 でアップデートされた Safari では、ブラウザに保存された (自動入力用の) ログイン情報やクレジットカード情報が、設定画面から確認できるようになったんですね。
今までは保存されたログイン情報を、iOS 上で確認したりすることはできなかったので、機能的には PC 版のブラウザに近づいたと言えます。
ところで、本件について下記のような記事が話題になっていました。
セキュリティに対する懸念と、パスワードロックしましょうっていう対策についてはその通りなので特に言及しませんが、この記事に対する反応として、「Safari 危険」 とか、「Safari パスワードが見られるとかありえねぇ」 みたいなのを見かけましたので、これは以前、Chrome で話題になった件と似てるなということで、簡単に書いてみます。
iOS 7 の Safari (Safari 7) のパスワード管理
具体的にですけども、iOS 7 では、「設定」 -> 「Safari」 -> 「パスワードと自動入力」 を開くことで、Safari に保存されているパスワードの一覧や、入力したクレジットカード情報などが確認できます。もちろん、この自動保存 (保存するときは初回に聞かれますね)、自動入力自体を無効にすることもできますが、デフォルトでは有効になっています。
この機能自体は特に珍しくないですよ
ただ、これ自体は PC 版のブラウザではごく当たり前の機能です。Safari だけでなく、IE、Firefox、Chrome でもブラウザに保存したパスワードは設定画面からごく簡単に確認できます。
もちろん、多くのブラウザでは保存したパスワードを保護するための 「マスターパスワード」 を設定することによって、簡単に閲覧できないようにする機能が付いていますし、例えば OS X 上の Safari の場合はマスターパスワードを設定しなかったとしても OS にログインする際のパスワードがデフォルトで Keychain に設定されていますので、これがわからなければパスワードはマスクされた状態で表示されるなど、ある程度のセキュリティ策は取られています。
翻って、今回の iOS 7 における Safari ですが、所謂マスターパスワードの設定はできません。つまり、iPhone (もしくは iPad など) を自由に操作できる状態であれば、誰でも保存したパスワード情報などを閲覧することができてしまいます。
確かにものすごく危険な香りがしますね......
Google Chrome で同じようなことが最近話題になりました
実はこれと同じような話が、つい先月ありました。その時に書いた記事は下記。
PC 版の Chrome は、マスターパスワードの設定機能を持っておらず、今回の iOS 7 Safari のように、簡単にパスワード情報を閲覧することができる仕様になっていることから、全く同じような議論になりました。
詳しくは上記の記事を見ていただければと思いますが、結論的には、
- ブラウザのパスワード管理機能自体に完全なセキュリティを求めるな
- OS レベルでパスワードロックするなど、根本的なセキュリティ対策を取れ
ってことで、「そもそも PC に他人が自由にアクセスするような状況を作らないようにしましょうね。」 という話になっていて、これはコンピュータ関連の技術者にとってはごく一般的な認識と言えます。
iPhone 自体に必ずパスワードロックをかけましょう
メンドクサイとか言ってる場合ではありません。iPhone に限らず、スマートフォンデバイスには必ずパスワード (指紋認証とかジェスチャ認証とかもあるのでお好みでいいけど) ロックをかけるようにしましょう。
スマートフォンは機能的に PC とほぼ同じです。できることが増えている関係から、所謂フィーチャーフォンの時よりも、インターネットショッピングに使ったり、ネットバンキングやら、様々な Web サービスの利用やらで、多くの重要な情報を取り扱っている可能性が高いでしょう。
その上、PC と異なり常時携帯している関係から、落として紛失しやすかったりとか、例えば飲んでる席で不用意にテーブルに置いたままトイレ行っちゃったりとか、他人に触られる可能性も格段に上がっていると思います。
そんなものを、パスワードロックもせずに運用するのがどれだけ危険なことか、再度認識した方がよいでしょう。
例えば、iOS であれば、下記の手順で端末にパスワードロックがかけられます。まず、「設定」 -> 「一般」 と進み、「パスコードロック」 を選択します。
ここで、「パスコードロック」 を有効にし、パスワードを設定すれば、ロック画面から復帰する際にこのパスワードを入力しないと、端末を操作することができなくなります。
また、通常は 「簡単なパスコード」 として 4桁の数字を設定することになっていますが、できればこれを無効にして、複雑なパスコードを設定しておくとよりいいでしょう。また、同時に 「自動ロック」 の設定を短めにし、パスコードロックは 「即時」 にして、ロック解除時に必ずパスワードの入力が必要なようにしておきましょう。
iOS には、オプション設定として、「データを消去」 という、パスワードを 10回間違えるとデータが全消去されるという鬼畜... もとい、安心機能がありますので、総当たり的にパスワードを試されて突破されるくらいならデータ消えた方がマシだぜという気骨ある方は、これを有効にしておくといいかもしれませんよ。
余談
これに関連してですが、iOS 7 では、「iCloud キーチェーン」 と呼ばれる、パスワード管理機能が実装されるはずでしたが、間に合わなかったのか、GM (ゴールドマスター) 版で一旦削除されてしまいました。これが実装されると、iCloud を利用して、OS X (OS X Mavericks) 上とパスワードを同期したりと、よりパスワード管理が便利になります。
