正直なところ、今回目の当たりにするまで気が付きませんでしたが、皆さんにお伝えした方が良いと思いました。
中古スマホ市場の闇についてのお話しです。
エンジニア転職を目指すなら⇒テックキャンプエンジニア転職
文鎮化したスマホ。
もともとは、スマートフォンのカスタム ROM について調べ始めたのが切っ掛けでしたが、そのうち「故障したスマートフォンを修理できたらいいなぁー」という感じで、そちらの方もいろいろ調べていました。
すると、俗に「文鎮化」と呼ばれるデバイスにはいくつかの特徴があることに気が付きました。
代表的なものは
- 物理的な故障(電源周りの故障、プロセッサの故障)
- Device Protection (通称 Google アカウントロック)
まず、これらについてコダシマの見解をお話したいと思います。
生活必需品になった「スマホ」。
今や、スマートフォンは生活に欠かせないものとなりました。
もともとの機能である電話を始めとして、SNS などを使ったコミュニケーションツールとしても使えますし、Kindle などで読書もできます。
メモを取ったり、写真を撮影したり、動画もかんたんに撮影できますよね。
スマートフォン一台でたくさんのことができるため、生活の大部分をスマートフォンに依存している人も少なくないと思います。
コダシマもそんな一人です。
スマートフォンはとても便利なデバイスですが、それがある日突然トラブルに見舞われて使えなくなったら大変ですね。
たとえば物理的に故障してしまい、起動すらまともにできなくなることもあるでしょう。
修理したり、買い替えの切っ掛けになるかと思います。
修理の場合は、手元にもとのデバイスが戻ってくるのが前提ですが、買い替えの場合にはそれまで使っていたものは不要になります。
不要になったデバイスの処分は、キャリアの店舗や正規代理店、少なくともコンプライアンスにうるさい企業(確認が取れるのであれば…)に依頼しましょう。
というのも、ことの発端はカスタム ROM をやってみようと、ヤフオクで手に入れたジャンク品のスマートフォン。
ジャンク品となるといろいろな不具合はありますが、普通の中古品よりも安価で手に入れることができます。
というか、ジャンク品は好物です。(ごちそうさまです)
複数台購入したのですが、そのうちの何台目かを起動させたときにびっくり!個人情報満載でした。
安易に売りに出すと後々トラブルに巻き込まれる可能性があることを再認識させられた瞬間です。
もう少し詳しくお話すると、動画ネタになりそうな情報を見つけ、その再現をしようと条件に合うジャンク品をヤフオクで探していました。
それほど数はありませんでしたが、それでもいくつか出品されており、その中から落札しました。
個人情報が残っていたのは、再起動ループで正常に起動しなくなった Nexus 5X です。
この端末、たぶん街の中古品買取店とかに売りに出され、使えない端末ということで流れ流れてヤフオクに出品され、最終的にボクの手元に届いたのでしょう。
スマホ=個人情報。
実際にはこうして目の当たりにするまで気が付かなかったのは事実ですが、よくよく考えてみれば「そうだなぁ」って思いました。
突然壊れてしまってどうにもならなくなったときに、どう対応するか一度ちゃんと考えなければいけませんね。
Twitterでつぶやいた通り仮に起動しなくなった端末だったとしても、ある程度の知識がある人間の手に渡ると、個人情報を抜き取られる可能性があります。
起動しなくなった端末のパターンをおさらいしておきましょう。
- 電源周りのトラブル
- プロセッサのトラブル
- OSのトラブル
他にもありますが、主な原因は大きく分けてこちらになるかと思います。
実はこれらの症状の多くは、なんとかなってしまいます。
素人のコダシマがチョチョっといじったくらいでも起動させて情報を覗くことができてしまいました。
ジャンク品を修理するのに喜びを感じる人種は、案外そこら辺りにいます。
動かなかったものが動き出す瞬間って、アドレナリン吹き出しますからねぇ。
スマートフォンに限らず故障しているという理由で安く手に入るものが多いので、それを修理して使えるようになったらラッキーなんてのもあります。
生活の大部分でスマートフォンが使われ、デバイスの中にはたくさんの個人情報が集まるようになりました。
電話番号をはじめとした連絡先はもちろん、SNS やメッセージアプリの履歴、写真や動画、地図アプリなど個人を特定する情報が満載です。
そんなスマートフォンですから安易に手放してしまうと、当然トラブルに巻き込まれる可能性があるということをしっかりと認識しておくべきです。
探偵でもない素人のコダシマが、その中身を見てわかったことは次のとおりです。
- 櫻井翔さんが好き
- 通信会社は Y!mobile
- 北関東在住
- リトルリーグ所属の子供がいる
- お母さん
- 仲良しのママ友あり
- 何人かは同じリトルリーグの人
- などなど…
これらは連絡先や電話・LINE トークの履歴などからわかりました。
メールアカウントも残ってました。
電話帳や画像・動画なども…
Youtube の履歴から趣味なども察することができます。
しっかり個人が特定できる情報が一通り揃っていました。
コダシマは悪用する気はありませんが、持ち主のお住まいを特定できるレベルです。
万が一、コレが故意に抜き出されて、悪用されたらと思ったらゾッとしました。
抜き出された個人情報、どんなふうに使われるかわかったもんじゃありません。
ちょっと想像してみました。
- もしかしたらその情報が元になって迷惑メールや勧誘電話が増えるかもしれません。
- もしかしたらその情報が元になって身に覚えのない請求や詐欺などの標的になるかもしれません。
- もしかしたらその情報が元になってストーカー被害に合うかもしれません。
- もしかしたら…
いったいどんな不利益が起こるのやら…。
この端末は、先程も少し触れたとおり再起動ループを繰り返して使えなくなっていた端末です。
故障したということで手放すことにしたのだと思いますが、手放すことにはなんら問題はありません。
問題は手放した先です。
中古品買取業者の闇。
故障した端末は、キャリアの店舗や正規代理店などに修理依頼するのが本筋だと思います。
が、今回のケースは、おそらく「動かなくなったスマホ高く買います!」的な業者が入っていたのではないかと見ています。
コダシマが住んでいる街にもありますからねぇ。
本来であればお金を出して修理しなければいけないものを、逆にそんな不都合がある端末にお金を払ってくれるなんて言われたら「動かないから大丈夫」「壊れてるんだから個人情報とか、どうせ見れないでしょ」という感じでうっかり売ってしまうのかもしれません。
わからないでもない気がちょっとはしますが、以前に報道されたハードディスクの転売のときにも思いました。
「業者には気をつけろ」
良心的な業者の方がいるのはもちろん承知しておりますが、残念なことに世の中そんなに甘くはありません。
もしかしたら、ろくな知識もなくただ転売目的で大量に仕入れているだけの業者かもしれません。
安く買い取って、ネットオークションとかで高く売ればいいですからね。
また「しっかり個人情報を削除します」とか言いながら、個人情報のリストを作って裏市場に売る業者かもしれません。
ひとつの端末でもたくさんの名前と電話番号、メールアドレスが手に入りますからね。
いずれにしろ、正規のルートでなければ、そういったリスクが潜在的にあるということを認識していなければいけないと思います。
最悪の場合には、その正規ルートの中に紛れ込んでいる場合もあるかもしれませんが…。
言い出したらキリがありませんが、それほどアチコチにリスクが潜んでいるということです。
今回あまりにも生々しく個人情報が残っていたのを目の当たりにし、危機感に襲われました。
Device Protection
もう一つ、Device Protection (端末保護機能) 俗に Google アカウントロックと呼ばれる機能についてのお話もしたいと思います。
Device Protection とは、 iPhone で言うところのアクティベーションロックのようなもので、Android 5.1 以降を搭載して発売された端末についている機能です。
万が一、端末を紛失しても第三者が不正に操作できなくするための機能で、端末が強制的に初期化された場合、直前まで同期されていた Google アカウント(とそのパスワード)がなければ端末が使えない仕組みです。
なので Device Protection がかかっている場合には
- アカウントが残ったまま誤った方法で初期化してしまった。
- 拾ったりしたものや盗難品を無理やり初期化した。
という可能性があります。
前者の場合は、シンプルに持ち主の操作ミスで Device Protection が働いてしまったか、知識不足の業者が誤った方法で初期化してしまった事が考えられます。
持ち主の操作ミスの場合には、その端末で使っていた Google アカウントを入力すればよいだけですが、業者がやらかしてしまうと、どうにもならなくなる場合が多いでしょう。
例えば買取業者だった場合、後から元の持ち主に「すんませーん。アカウントとパスワードを教えて下さい。」とか言えませんよね。
ちゃんとしている(?)業者であれば、目の前でアカウントを削除して初期化したりするでしょう。
でも中には、うっかりバイト君が確認や初期化の処理を忘れてしまうこともあるでしょう。
てか、そもそもそんな事すらしてない業者は要注意です。
インターネットオークションに出品されている Device Protection がかかったものの多くはそんな「うっかり」が生んだ品だと思いたいです。
一方の後者は、高確率で違法行為です。
拾ったり盗んだりしたものを、無理やり初期化しようとした結果のロック。
専門業者だったり、それなりに知識がある人でなければやらかしてしまいます。
まぁ、そういった不正行為を防ぐために追加された機能ですからね。
Device Protection が動作した理由は明確に知ることはできませんが、ロックがかかって動かないという結果は同じです。
目の前にあるものが、もしかしたら盗品かもしれないと思うと良い気分はしませんよね。
bypass FRP
これも Twitter でツイートしたとおり、あるていど調べれば Device Protection も強制的に解除することができます。
bypass FRP (bypass Factory Reset Protection/工場出荷時設定リセット保護回避) とも呼ばれているこのテクニック、機種によりやり方は若干異なりますが、大筋は Device Protection がかかっていても使える機能を使って、Device Protection を解除するアプリをインストール・実行するというものです。
今回やってみたのは Talkback という機能が入り口になりました。
ここではあまり詳しく説明しませんが、いくつか操作を重ねるとブラウザを起動させることができます。
そのブラウザに、設定にアクセスできるようにするアプリと、ロックを解除するアプリをインストール・実行して再起動すると Device Protection を突破することができます。
実際にテストしてみましたが、ややこしい手順と必要なアプリさえ理解すれば Device Protection を強制的に解除できてしまいす。
入手したやり方の中には、セキュリティパッチで対策された方法もあることから、法律的にかなりグレーなやり方だと思われます。
物理的な故障の修正方法ならともかく、このやり方が、不正に入手した端末を流通させるために使われたらと思うと、アクセスが欲しくても情報の公開に踏み切ることができませんでした。
マネー・ロンダリングならぬスマホ・ロンダリングですからね。
まとめ。
ということで、今回のまとめです。
正直なところ、今回目の当たりにするまで、全く気がついていませんでしたが、
万が一起動できなくなってしまい処分したい端末がある場合には、キャリアの店舗や正規代理店、少なくともコンプライアンスにうるさい企業(確認が取れるのであれば…)に依頼しましょう。
故障して起動しなくなった端末でも、ヤフオクやメルカリ・中古品買取業者などに安易に売りに出すと
個人情報を抜き取られ、後々トラブルに巻き込まれる可能性が高くなります。
ちゃんと初期化できているのであれば大丈夫でしょうが、そうでなければ止めたほうがいいですね。
また、ジャンク品として出品・販売されているものの中には、盗品やその他不正な経路をたどってきたものも紛れている可能性があります。
正直あまり良い気分はしませんね。
こうして改めて中古品業者を見てみると、なかなか闇が深いかもしれないと感じてしまいました。
皆さんはどう思いますか?