Androidの「パターンロック」、PINより安全ではない？ ESETの研究者が解説：肩越しにのぞき見された場合の危険度を比較

認証情報の入力を肩越しに盗み見る“ショルダーサーフィン”に対して最も安全な画面ロック解除方法の研究結果が発表された。

[＠IT]

　「Androidスマートフォンの画面ロックを解除する際、誰かに肩越しに見られている場合には、指でパターンを描くよりも、昔ながらのPIN入力の方が安全かもしれない」。そう示唆する研究結果を米国海軍士官学校と米国メリーランド大学の研究者が発表し、スロバキアのセキュリティ企業 ESETが2017年9月28日（現地時間）、公式ブログで解説を加えた。

　以下、内容を抄訳する。

　この研究結果は、米国海軍士官学校と米国メリーランド大学の研究者による「Towards Baselines for Shoulder Surfing on Mobile Authentication」（モバイル認証時のショルダーサーフィンに対する基本認識の確立に向けて）という論文で明らかにされた。この論文は、他人が認証情報を入力しているところを肩越しに盗み見る“ショルダーサーフィン”（ショルダーハッキングとも呼ばれる）からスマートフォンを守る有効な安全対策の研究をまとめたものだ。

　では、誰かに肩越しにのぞかれている心配がある場合、スマートフォンの画面ロックを解除するのに「PIN」と「パターン」のどちらを使う方が賢明なのか。

パターンによるロック解除

　少なくともこの研究によると、答えはPINだ。

　パターンを描くところを1回だけののぞき見で見破る確率は、64.2％だった（複数回のぞき見された場合は、79.9％に跳ね上がる）。パターンを描くときに軌跡が表示されないようにすると、この数字はそれぞれ35.3％、52.1％に低下した。

　これに対し、6桁のPIN入力を1回ののぞき見で見破られる確率は10.8％にとどまった（複数回のぞき見された場合は26.5％）。

　テストでは、のぞき見した者は最大約1.8メートル離れたところからパターンを見破った。

　研究者は、6桁以上のPINが、ショルダーサーフィンに対して最も安全な対策になると結論付けている。さらにPINの桁数が多いほど、パターンが長いほど、安全だとしている。当然のことながら、研究者は、スマートフォンの画面が大きいほど、ショルダーサーフィンの危険が大きいことも確認した。

　またPINにしてもパターンにしても、単純なものは見破られやすいので、ランダムなものに設定することが重要だ。

　さらにショルダーサーフィンが本当に心配であれば、やはりバイオメトリクス（指紋など）でデバイスを保護する方が効果的だろうと、ESETは述べている。