スマートフォンを意図的に紛失、発見者の96％が内部データをのぞき見(シマンテック)

　シマンテックは13日、スマートフォン50台を使って、意図的にスマートフォンを紛失し、発見者がそのスマートフォンをどのように扱うのかを調査する実験「ハニースティックプロジェクト（Honey Stick Project）」の結果を発表した。

調査・レポート・白書調査・ホワイトペーパー

2012.3.13 Tue 18:15

　シマンテックは13日、スマートフォン50台を使って、意図的にスマートフォンを紛失し、発見者がそのスマートフォンをどのように扱うのかを調査する実験「ハニースティックプロジェクト（Honey Stick Project）」の結果を発表した。

　この実験では、Security Perspectives社のスコット・ライト氏協力のもと、ダミーの企業データや個人データを入れた端末を用意。さらに、その端末が発見された後、データに対して行われた操作がリモートで監視できる機能を追加したうえで、意図的に紛失させた。こうして50台のスマートフォンが、ニューヨークシティ、ワシントンD.C.、ロサンゼルス、サンフランシスコ、オタワ（カナダ）の5都市で“置き忘れ”となった。置き場所は、エレベーターやショッピングセンター、フードコート、バス停など、人通りの多い公共の場所だった。

　その結果、スマートフォンを見つけた人のうち、50％がスマートフォンを持ち主に返そうとしたこと、そして、発見者の96％がスマートフォンの中にあるデータにアクセスしたことが判明した。もちろん持ち主を割り出すためにデータにアクセスした可能性があるが、発見者の6割がソーシャルメディア情報や電子メールを見ようとしたこと、発見者の83％が企業情報（「HR Salaries（給与）」や「人事（HR Cases）」といった明確な名前の付いたファイルや、その他各種の企業情報）にアクセスしようとしたことが明らかとなっている。なお「ハニースティック」スマートフォンには、リモートコンピュータやネットワークにアクセスできるように見せかけたアプリケーションも組み込まれており、発見者の49％は「Remote Admin（リモート管理）」アプリを実行しようとしたという。「保存したパスワード」というファイルには、57％がアクセスした。

　これらの数値は、人によってそれほど衝撃的ではないかもしれないが、「ほとんどの人がデータをのぞこうとし、しかも半分のスマートフォンは戻ってこない」「発見者の半数は、持ち主の銀行口座レベルの情報にもアクセスしようとした」ことになる。

　シマンテックでは、「パスワードによる保護」「リモートから端末上のデータをワイプ（消去）する機能を付ける」という2点を推奨している。

「落とし物のスマホ、拾った人はどう扱うか？」……シマンテックが50台をわざと“放置”

《冨岡晶@RBB TODAY》