■ サンフランシスコでiPhoneの盗難にあった件について
もう1ヶ月ほど前になりますが、WWDC のために訪れていたサンフランシスコでiPhoneの盗難というか強奪という大変な事件が起きたので、その時にやったこととかをまとめます。
6月11日土曜日14:20分頃のことです。ユニオンスクエアのAppleStoreの近くでiPhoneを構えて写真撮影をしていたところ、死角からこうガバッとiPhoneを捕まれて、犯人のお兄さんはそのまま地下鉄のほうへ逃げてゆかれました。頑張って追いかけてみましたが、本職の泥棒に適うわけもなく、まんまと逃げられてしまいました。
行ったことある人はわかると思いますが、あの辺は人も割と多くてね、完璧油断してました。どんな感じかは ストリートビュー をご覧いただくとなんか想像つくかも。
幸いなことに、追いかけっこを目撃していた女性の方が鉄道警察に通報してくれて、すぐにBart(あっちの地下鉄)の警備員さんが来てくれました。事件発生現場は地上だったので管轄が違うらしく、サンフランシスコ警察を呼んでくれたりとか、俺英語あんまりしゃべれないから日本語わかる人探してくれて、何故かAppleStoreの従業員の方が出てきたりとかのイベントがあったんだけど、まあどうでもいいんで割愛。
残念ながらFind My iPhoneは使ってないので、その辺りの探索体験できませんでした。どっちにしろすぐ電源切ってたっぽいんですけどね。なんかどうも盗難事件が多発していたらしいんですよ。自分の場合は触れられてすらいないので、怪我も何もなく無事に日本に帰ってきました。
会場前の行列ではiPhoneを使わないに警察から指示が。
というのもiPhoneの盗難が多発しているとのこと。たんにひったくられるだけじゃなく、ひどい場合は通話中に殴られて奪われるパターンもあった様子。><
で、ケーサツの方に名前やら連絡先やらを聞かれて解散したところで本題の、この後なにをやったか。
まずはソフトバンクへ電話して電話回線を止めてもらう。海外専用窓口に電話して、電話番号と名前とパスワードですぐ止めてくれました。
そしてiPhoneの対応。iPhoneにはパスコードロックをかけていましたが、未操作のあと何分後(1時間かな)みたいな設定だったので、念のためiPhoneからアクセスできるウェブサービスのパスワードなどを変更していきました。手元にiPod touchが複数台あったため、色々状況をシミュレートしながら設定変更をためすことができ、なかなか興味深い結果になったので、代表的なサービスについて、各アカウントで行なった対策とその結果どうなるかをまとめました。
* Google (Gmail, Calendar)
Googleのアカウントには「他のセッションをログアウト」という項目があるので、パスワードを変更してからこれを選択することで、iPhoneの「メール」アプリからのアクセスをシャットアウトできます。ただ普通にキャッシュは残ってるだろうから、最近見たメールなんかは読まれる可能性はありますね。
カレンダーは個人的に「CalenGoo」というアプリを使っていますが、オフラインの状態では取得済の予定はすべて見れます。オンラインになると、自動的にログイン画面に戻ったので、新しい予定は表示できなくなります。他のアプリでは試していないのでわかりません。
Gmailには「アカウントのアクティビティ」という画面で利用IPアドレスの履歴を表示できます。これを見ると不正アクセスがあったかどうかすぐわかります。あまり使ってないアカウントがあれば、そのアカウントのパスワードを変更しないでおくというのも手かなとか思いました。実際に不正アクセスが発生したかどうかを確認出来る可能性がぐっと上がります。
最初にパスワードを変更し、次にアプリケーションの接続を遮断します。
iPhoneのTwitterクライアントはOAuth/XAuthで認証を行なっているので、基本的にパスワードを変更したとしてもアカウント情報へのアクセスは可能です。http://twitter.com/settings/applications にアクセスして、表示されるアプリケーションを一通りremoveしていくと、これらの接続を切ることができます。これで、いままで使っていたiPhoneから不正にアクセスされることはなくなります。
ほとんどのクライアントは、オンラインだろうがオフラインだろうがアクセスができなかった場合にその旨のアラートを表示するだけなので、過去に表示したDMなどは見えてしまいます。これは防ぎようがありませんので、秘密情報が含まれていないかは十分確認したほうがいいでしょう。使ってるアカウント名ももろに表示されてしまうので、監視される可能性も考慮して、少しの間だけつぶやきは非公開にしておきました。
新しいiPhoneなどを入手したあと、クライアントアプリで改めて認証をした場合、OAuth/XAuthのトークンが新しくなるので盗難iPhoneからアクセスされる心配はありません。
Facebookのパスワードを変更すると、iPhoneアプリは自動的にログアウトされて強制的にログイン画面に戻ります。すばらしいアプリです。オフラインだとほとんど操作できないので、Facebookは早々に安全だと判断できました。
ただし、Facebookのコネクションを利用してログインするタイプのアプリの場合は、そうはいきません。たとえばBelugaです。
Belugaのログイン認証は端末毎にセッションを作っているようなので、どこかでログアウトをしても他の端末には影響がありません。Podを見れないようにするためにLeave Podを実行すると、Leaveを実行した端末とWebからは該当のpodへアクセスできなくなります。が、すでにログを表示済の端末、つまり紛失した端末上では過去ログの参照ができてしまいます(投稿はできません)。当然新しいPodを作るとすべての端末に内容が同期されます。アカウント消すこともできないし、なんかどうしようもないっぽいのでひとまずBelugaを使のはやめにしました。
* Dropbox
パスワードを変更した上で、端末毎のリンクを解除します。
リンクを解除された端末でDropboxアプリを立ち上げると、パスワード入力のプロンプトが表示されます。ただし、このプロンプトをキャンセルしてファイルにアクセスすることが可能です。じっくり検証したわけではりませんが、キャッシュされているファイルは表示できるようです。
サードパーティ製のアプリケーションとの接続を切る機能がありますが、これを実行してもすでに認証済のアプリケーションには影響がないようです。
* 日本に帰ってきて
前に使っていたiPhone3GSを持っているので、これをソフトバンクショップに持っていったところ、機種変更の扱いでSIMを発行してもらえました。約2000円の事務手数料のみです。
出発前に取っていたバックアップから復元したので、データ的な損害は大したことありませんでした。
海外旅行保険はいつも入ってません。クレジットカード付帯の盗難保険がついてるので、そこに保険金の請求をします。というか、請求してもうすでに振り込まれました。これについては後日まとめます。→ まとめました 海外で盗難にあったiPhoneを保証してもらった件について
* まとめ
実際、データの盗難が目的だったらパスコードロックかかってない時点でほぼ死亡なのよね。いまのところ不正にアクセスされた形跡はないので本当に良かった。
必要なこと
- こまめなバックアップ
- パスコードロックのパスコード要求間隔は短めに
- パスコード10回した場合の「データ消去」はオンにした方がいいでしょう
- 外出先でiPhoneを出さない
あと、開発者として気付いたこと
- パスワードを変更したら、そのユーザのセッションは全部切る
- Gmailのような、他のセッション全部切ってくださいオプションは安心
- Belugaみたいなサービスでも、アカウントの関連付けを切る機能は必要
Posted by Kyosuke Takayama at 2011-07-05 (Tue) 20:29 printable version
