要約:ほとんどのiPhoneユーザーがまだ行っていない、最も効果の高いセキュリティ改善は3つです。(1)SMS二要素認証を認証アプリまたはパスキーに切り替える、(2)iCloud高度なデータ保護を有効にしてバックアップをエンドツーエンドで暗号化する、(3)ネットワークレベルの脅威保護を追加してフィッシングドメインをロード前にブロックする。このガイドで紹介する他の対策も重要ですが、この3つは2026年の実際のiPhoneユーザーに対して実際に成功している攻撃ベクター——認証情報の盗難、iCloudバックアップへのアクセス、フィッシングリンク——に対処するものです。
セキュリティ対策の優先順位:インパクト・対応脅威・セットアップ難易度
| セキュリティ対策 | 防御対象 | セットアップ難易度 | インパクト |
|---|---|---|---|
| アプリベースの2FA/パスキー | SIMスワップ攻撃、SMS傍受、クレデンシャルスタッフィング | 普通(主要アカウントで10〜20分) | 重大 |
| iCloud高度なデータ保護 | Apple・法執行機関・Apple IDを持つ攻撃者によるiCloudデータへのアクセス | 簡単(トグル1つ、リカバリーキー設定) | 高 |
| ネットワークレベルの脅威保護 | フィッシングドメイン、マルウェアC2、悪意あるWiFi、ゼロデイフィッシング | 簡単(アプリをインストールして接続をタップ) | 高 |
| アプリ権限の監査 | アプリによる過剰なデータアクセス、ストーカーウェア、データブローカーによる収集 | 簡単(5分間のレビュー) | 中〜高 |
| デバイスセッションの確認 | 不正なアカウントアクセス、放置された有効セッション | 簡単(5分間のレビュー) | 中 |
| 盗難デバイス保護 | パスコードを観察された状態での物理的な盗難 | 簡単(トグル1つ) | 中 |
| ロックダウンモード | ゼロデイエクスプロイト、国家支援型スパイウェア | 簡単(トグル1つ、大幅なUXのトレードオフあり) | 重大(標的にされた個人向け)/低(一般ユーザー向け) |
| 自動アップデートの有効化 | 既知のエクスプロイト、未パッチの脆弱性 | 簡単(トグル1つ) | 重大 |
それでは各対策について、何をするのか、なぜ重要なのか、具体的な設定方法を詳しく説明します。
SMS二要素認証を認証アプリまたはパスキーに切り替える
これはほとんどの人がまだ行っていない、最も重要なセキュリティ変更です。SMS二要素認証(確認コードをテキストメッセージで受け取る方式)は、SIMスワップ攻撃、SS7ネットワーク傍受、キャリアサポートスタッフへのソーシャルエンジニアリングに対して脆弱です。これらは理論上の攻撃ではありません——FBIのインターネット犯罪苦情センターは2023年だけでSIMスワップによる被害が6,800万ドルを超えると記録しており、その数字はその後も増加しています。攻撃者が電話番号を自分のSIMに移管すると、SMSベースの2FAコードはすべてあなたではなく攻撃者のもとに届きます。メール、銀行、SNS——SMSの2FAのみで保護されているすべてのアカウントがアクセス可能になります。
代わりに使うもの:認証アプリはデバイス上で時間ベースのワンタイムパスワード(TOTP)を生成します。コードはセットアップ時に確立された共有シークレットを使ってローカルで生成されます——SMSなし、キャリアなし、スワップするSIMなし。Appleの内蔵認証機能(設定 > パスワード、アカウントをタップ > 確認コードの設定)はSafariでコードを自動入力するためよく機能します。サードパーティの選択肢には1Password、Authy、Google Authenticatorがあります。これらはSMSよりも格段に安全です。
さらに優れた方法——パスキー:パスキーはiOS 16以降に内蔵されたFIDO2/WebAuthn標準です。パスワードと2FAコードの両方を、iCloudキーチェーンに保存された暗号鍵ペアに置き換えます。Face IDまたはTouch IDで認証します——フィッシングされるパスワードもなく、傍受されるコードもありません。主要サービス(Google、Apple、Microsoft、GitHub、Amazon、PayPal)がパスキーをサポートしています。サービスがパスキーをサポートしている場合は使用してください——認証情報盗難攻撃のカテゴリ全体がなくなります。FIDO Allianceのパスキードキュメントにはサポートサービスの全リストが掲載されています。
優先すべきアカウント:まずメール(マスターキーです——ほとんどのパスワードリセットはメール経由で行われます)、次にApple ID、次に銀行や金融アカウント、次にSNSの順に始めてください。メールアカウントが最も重要です。それを侵害されると、攻撃者は他のすべてのパスワードをリセットできるようになります。SMSから認証アプリベースの2FAに切り替えるアカウントが1つしかないなら、プライマリのメールにしてください。
キャリアPIN:アプリベースの2FAへの切り替えと同時に、携帯キャリアのアカウントに強力なPINも設定してください。これは2FA切り替えの代わりにはなりませんが、SIMスワップのソーシャルエンジニアリングに対する防御層を追加します。キャリアに電話するかアプリを使って、SIMスワップを含むアカウント変更に必要なPIN/パスフレーズを設定してください。誕生日や社会保障番号の下4桁は使わないでください——簡単に推測されます。
iCloud高度なデータ保護を有効にする
デフォルトでは、iCloudバックアップは転送中および保存中は暗号化されていますが、Appleが暗号化キーを保持しています。つまりAppleは(裁判所命令を通じて)あなたのiCloudバックアップを復号して法執行機関に提供できます。また、攻撃者がApple IDにアクセスすると、メッセージ、写真、ヘルスデータ、Safariの履歴を含むiCloudバックアップをウェブからダウンロードできます。
高度なデータ保護が変えること:高度なデータ保護(ADP)を有効にすると、ほとんどのiCloudデータカテゴリがエンドツーエンド暗号化に切り替わります。暗号化キーは信頼されたデバイスにのみ保存され、Appleはコピーを保持しなくなります。つまりAppleはデータを復号できず、法執行機関に提供できず、Apple IDを侵害した攻撃者も信頼されたデバイスの1つを持っていない限り暗号化されたデータにアクセスできません。保護されるカテゴリには、iCloudバックアップ、写真、メモ、リマインダー、Safariのブックマーク、Siriショートカット、ボイスメモ、Walletパス、iCloud Driveが含まれます。
対象外のもの:iCloudメール、連絡先、カレンダーは、非AppleのメールサーバーやCardDAV、CalDAVプロトコルとの相互運用のためにサーバーサイドのデータアクセスが必要なため、標準暗号化のまま(エンドツーエンドではない)です。これは実際の制限です——ADPを有効にしてもメールの内容はエンドツーエンドで暗号化されません。
有効にする方法:設定 > お名前 > iCloud > 高度なデータ保護 > オンにする。iOSがリカバリーキーの設定またはリカバリー連絡先の指定を案内します。このステップは重要です:Appleがキーを保持しなくなるため、すべての信頼されたデバイスを失い、リカバリーキーもない場合、データには永久にアクセスできなくなります。リカバリーキーを書き留め、物理的に安全な場所(金庫、貸金庫、施錠された引き出し——スマホのメモやメールではなく)に保管してください。
有効にすべき人:iCloudにセンシティブなデータを保存し、リカバリーキーを安全に管理できると確信しているすべての人。ADPを有効にしない理由は、自分のデータへのアクセスを失うことを本当に心配している場合だけですが、リカバリーキーのプロセスはそれを防ぐために存在します。セキュリティ上のメリットは大きいです:Appleがデータにアクセスする能力を削除することで、攻撃者がAppleを通じてアクセスする能力も削除されます。
ネットワークレベルの脅威保護を追加する
iPhoneユーザーに対する攻撃の大半は、iOSの脆弱性を悪用するものではなく、人間を悪用するものです。フィッシングリンクはSMS、メール、WhatsApp、SNSを通じて届きます。ユーザーがリンクをタップし、説得力のある偽のログインページに誘導され、認証情報を入力してしまいます。終わりです。2026年では、AI生成のフィッシングページは本物とほぼ区別できません——「スペルミスや変なURLを探せ」という古いアドバイスはもはや信頼できません。
ネットワークレベルの保護が行うこと:DNSベースまたはVPNベースの脅威フィルターが、デバイスが接続しようとするすべてのドメインを評価します。フィッシングリンクをタップすると、フィルターはそのドメインを(1)既知のフィッシングドメインのブロックリスト、(2)セキュリティ研究者からの脅威インテリジェンスフィード、(3)新規登録されたフィッシングドメインの特徴(異常なレジストラ、ブレットプルーフASNでのホスティング、正規ブランドを模倣したドメイン名パターン)を識別するMLモデルと照合します。ドメインにフラグが立てられると、ページがロードされる前に接続がブロックされます——偽のログインページを見ることも、認証情報を入力する機会もありません。
なぜSafariの外でも重要なのか:SafariにはSafe Browsingチェック(不正なウェブサイトへの警告)が内蔵されており優れていますが制限があります——これはGoogleのSafe Browsingデータベースに対してチェックするもので、フィッシングドメインが公開されてからデータベースに追加されるまでにラグがあります。フィッシングキャンペーンはますます24〜72時間だけ有効なドメインを使い、ローテーションしています。MLベースの検出によるネットワークレベルの保護は、静的ブロックリストがまだインデックスしていないドメインをキャッチします。そして決定的に重要なことは、Safari外でも機能するということです——iMessage、WhatsApp、Slack、メールアプリ、SNSのフィッシングリンクはすべて、ロードされる前にDNSを通じて解決されるため、どのアプリでリンクをタップしても関係なくフィルターがキャッチします。
設定方法:VPNベースのフィルタリングアプリをインストールしてください。Casper's Cloakは既知の脅威のDNSレベルブロッキングとゼロデイフィッシングドメインのAIベース分類を組み合わせ、さらに公衆WiFi保護のためのWireGuardトンネル暗号化も提供します。あるいは、NextDNSやCloudflare GatewayはDNSのみの脅威フィルタリングを提供しています(VPNトンネルなし)。VPNアプローチは脅威ブロッキングとネットワーク暗号化の両方を提供します;DNSのみはVPNスロットを使わずに脅威ブロッキングを提供します。セキュリティを特に重視する場合(プライバシーだけでなく)、VPNアプローチはより強力です——悪意あるWiFiネットワークに対する保護も提供するためです。
保護できないこと:正規サイトに手動でアクセスし、本物の認証情報でログインし、そのサイトが侵害された場合——ネットワークレベルの保護はそれには対応できません。以前のデータ侵害でパスワードが流出した場合のアカウントへのクレデンシャルスタッフィング攻撃も防ぐことができません。その層には、強力でユニークなパスワード(パスワードマネージャーを使用)と2FAが必要です。ネットワークレベルの保護は最外側の防御層であり、強力な認証は最内側です。両方が必要です。
アプリの権限を監査し、不明なデバイスセッションを確認する
アプリの権限監査はシンプルで迅速であり、どの自動化ツールもキャッチできないものを発見します。設定 > プライバシーとセキュリティに移動し、各カテゴリを確認してください:位置情報サービス、連絡先、カレンダー、写真、マイク、カメラ、Bluetooth、ローカルネットワーク、ヘルスケア。リストされた各アプリについて、このアプリは実際に使う機能のためにこの権限が必要か確認してください。QRコードスキャナーが連絡先を必要とすることはありません。レシピアプリがマイクを必要とすることはありません。ゲームが位置情報を必要とすることはありません。意味をなさないものはすべて取り消してください。
アプリのプライバシーレポート:設定 > プライバシーとセキュリティ > アプリのプライバシーレポートは、過去7日間にどのアプリがどのセンシティブなデータタイプにアクセスしたか、どのドメインに接続したかを表示します。これが監査の証拠です。懐中電灯アプリが過去1週間で位置情報に847回アクセスしていた場合、それは調査する価値のある赤信号です——アプリが広告用にデータを収集しているか、さらに悪いことをしている可能性があります。アプリのプライバシーレポートは何もブロックしませんが、ブロックの判断に必要な情報を提供します。
不明なデバイスセッションの確認:最も重要なアカウント——Apple ID、Google、メール、銀行——では、アクティブなセッション(現在ログインしているデバイス)を確認できます。Apple IDの場合:設定 > お名前 > 下にスクロールしてすべてのデバイスを確認。認識しないデバイスはすぐに削除(タップ > アカウントから削除)し、パスワードを変更してください。Googleの場合:myaccount.google.com/device-activity。主要なメールプロバイダーや銀行については、セキュリティまたはセッション管理ページを確認してください。不明なアクティブセッションはアカウント侵害の最も強力な指標の1つです——他の誰かがあなたとして認証してまだログアウトしていないことを意味します。
頻度:徹底的な権限監査には約5分かかり、2〜3ヶ月ごとに行うべきです。デバイスセッションの確認は毎月、または不審なことに気づいた場合(予期しない2FAコード、リクエストしていないパスワードリセットメール、見覚えのない場所からのアカウントアクティビティ)は即座に行うべきです。完全な診断フレームワークについては、スマートフォンがハッキングされているかどうかを知る方法のガイドで説明しています。
盗難デバイス保護と物理的なセキュリティ
iOS 17.3で導入された盗難デバイス保護は、特定の攻撃に対処します:泥棒がバー、公共交通機関、カフェでパスコードを入力するのを見てから(ショルダーサーフィン)スマートフォンを盗む攻撃です。盗難デバイス保護なしでは、泥棒はそのパスコードを使ってApple IDのパスワードを変更し、「iPhoneを探す」を無効にし、キーチェーンのパスワードにアクセスし、自分のアカウントからロックアウトすることができます。盗難デバイス保護を有効にすると、センシティブな操作にはFace IDまたはTouch IDが必要になり(パスコードだけでは不十分)、一部の操作は見慣れた場所から離れたときに1時間の必須待機時間が生じます。
有効にする方法:設定 > Face IDとパスコード > パスコードを入力 > 盗難デバイス保護 > トグルをオンにする。「常に」(遅延がどこでも適用される)または「馴染みのある場所から離れたとき」(自宅と職場から離れたときのみ遅延が適用される)を選択してください。「馴染みのある場所から離れたとき」オプションの方が便利です——日常生活での摩擦を増やさず、盗難が最も起こりやすいシナリオでセキュリティ対策が有効になります。
パスコード自体も重要:パスコードが000000や123456の場合、盗難デバイス保護は助けになりますが、それでも脆弱な基盤の上で作業していることになります。最低でも6桁の数字のパスコード、またはより強力なセキュリティのために英数字のパスコードに切り替えてください。Face IDで99%の時間ロック解除するため、長いパスコードの不便さは最小限です——再起動後、48時間ロック解除なしの後、またはFace IDが繰り返し失敗したときにのみ入力します。設定 > Face IDとパスコード > パスコードを変更 > パスコードオプション > カスタム英数字コードに移動してください。
ロックダウンモード:脅威モデルが正当化するとき
ロックダウンモードは、高度なエクスプロイトが標的とする機能を無効にすることで、iPhoneの攻撃対象領域を劇的に縮小します。SafariでのJITコンパイルが無効になり(一部の複雑なウェブアプリが動かなくなりますが、主要なエクスプロイトクラスがなくなります)、ほとんどのメッセージ添付ファイルタイプがブロックされ、不明な連絡先からのFaceTimeコールがブロックされ、有線接続にはデバイスのロック解除が必要になり、構成プロファイルはインストールできなくなります。
誰が必要か:権威主義的な政府を取材するジャーナリスト、人権活動家、政治的反体制派、そして国家支援型監視や傭兵スパイウェア(Pegasus、Predator、Hermit)の標的になっていると信じる根拠のある人。これらの個人は、ゼロデイエクスプロイトチェーンを購入・展開する予算を持つ脅威アクターと対峙しています。ロックダウンモードはデバイスへの攻撃の技術的コストを上げ、攻撃者がより簡単な標的に移るか、より高価な(そのため稀な)エクスプロイトを使うことを強いるかもしれません。
誰が必要でないか:iPhoneユーザーの大多数。ロックダウンモードが防御する攻撃は、1標的あたり6〜7桁のコストがかかります。一般の消費者はこれらのツールで標的にされません——経済的に見合わないのです。脅威モデルがフィッシング、アカウント乗っ取り、SIMスワップ、データブローカー追跡であれば、このガイドの他の対策がそれらに直接対処します。ロックダウンモードはそれらには役立ちません——根本的に異なる脅威層に対処するものです。
トレードオフは現実:JITコンパイルなしでは一部のウェブサイトが正常に動作しない場合があります(複雑なウェブアプリ、一部の銀行サイト、Google Docsが遅くなることがあります)。メッセージでの写真共有が制限されます。一部のフォントやPDF機能が無効になります。試してみて日常の摩擦がワークフローに許容できると感じれば、オンにしておくことにデメリットはありません。しかし、一般的な脅威に対して「より安全」になると思って有効にしないでください——そうはなりません。特定の、稀な、高コストな攻撃カテゴリに対してより安全になります。
完全なセキュリティ強化チェックリスト
このガイドのすべての対策をセットアップ順に並べました。各ステップは前のステップの上に構築されます。全プロセスの初期セットアップには30〜45分かかります。
- 自動アップデートを有効にする。設定 > 一般 > ソフトウェアアップデート > 自動アップデート——すべてをオンにする。これが基盤です——他のすべてのセキュリティ対策はOSが最新であることを前提としています。
- 2FAを認証アプリまたはパスキーに切り替える。メール、次にApple ID、次に銀行、次にSNSの順に始める。AppleのBuilt-in認証には設定 > パスワードを使用するか、1Password/Authyをインストールする。あわせてキャリアPINも設定する。
- iCloud高度なデータ保護を有効にする。設定 > お名前 > iCloud > 高度なデータ保護。リカバリーキーを書き留め、物理的に保管する。これでiCloudデータがエンドツーエンドで暗号化されます。
- ネットワークレベルの脅威保護をインストールする。Casper's CloakをダウンロードするかNextDNSを設定する。VPNプロファイルを有効にする。これによりフィッシングドメイン、マルウェアインフラをブロックし、あらゆるネットワーク上でトラフィックを暗号化します。
- アプリの権限を監査する。設定 > プライバシーとセキュリティ——位置情報、マイク、カメラ、連絡先、写真を確認する。不要なものはすべて取り消す。過剰なトラッキングドメインに接続しているアプリについてアプリのプライバシーレポートを確認する。
- デバイスセッションを確認する。設定 > お名前 > デバイスまでスクロール。認識しないものを削除する。Google、メール、銀行アカウントの不明なアクティブセッションを確認する。
- 盗難デバイス保護を有効にする。設定 > Face IDとパスコード > 盗難デバイス保護 > トグルをオンにする。最適な利便性とセキュリティのバランスには「馴染みのある場所から離れたとき」を選択する。
- パスコードをアップグレードする。設定 > Face IDとパスコード > パスコードを変更 > カスタム英数字コード。Face IDを毎日使うため、長いパスコードが必要になる稀なケースでのみ重要です——そしてそのケースでは強度が重要です。
- ロックダウンモードを検討する(脅威モデルが正当化する場合)。設定 > プライバシーとセキュリティ > ロックダウンモード。標的型の国家レベルの脅威に直面している個人のみ。
このセットアップが保護するもの——そして保護しないもの
上記のすべてが整っていると、SIMスワップ攻撃(認証アプリベースの2FA)、iCloudバックアップの盗難(高度なデータ保護)、フィッシングリンク攻撃(ネットワークレベルの脅威ブロッキング)、パスコードを観察された状態での物理的なデバイス盗難(盗難デバイス保護)、アプリによる過剰なデータ収集(権限監査)、既知のエクスプロイトチェーン(自動アップデート)から保護されます。
残るもの:どんな設定も無敵にはしません。誰かがあなたを説得して認証情報を自発的に共有させたりアクセスを許可させたりするソーシャルエンジニアリング攻撃は、依然として機能します——技術はこれらの攻撃の対象範囲を縮小できますが、あなたが攻撃者に協力するなら排除できません。利用しているサービスでのデータ侵害は、デバイスの設定に関係なく、そのサービスに提供したデータを公開します。ログインしているサービス(Google、Meta、Amazon)によるファーストパーティ追跡は続きます——自発的に認証しているためです。そしてゼロデイエクスプロイトは——ロックダウンモードがコストを上げるとはいえ——ソフトウェアに証明可能なバグがないものはないため存在し続けます。
誠実な見方:セキュリティは攻撃成功のコストを上げ確率を下げることです。このガイドの各対策は、特定の実際の攻撃ベクターを排除または軽減します。積み重ねることで、国家レベルのリソース以外のあらゆる手段によるiPhoneへの侵害を非常に困難にします。残るリスクは認識と行動によって管理されます——予期しないメッセージへの懐疑心、電話での認証情報の共有拒否、不正アクティビティのアカウント監視。
まとめ
基本——パスコード、Face ID、「iPhoneを探す」——は必要ですが十分ではありません。基本を超えて実質的な違いをもたらす対策は:認証アプリまたはパスキーベースの2FA(実際に成功している認証情報盗難攻撃を無効化)、iCloud高度なデータ保護(最も価値の高い標的——クラウドバックアップ——をエンドツーエンドで暗号化)、ネットワークレベルの脅威保護(フィッシングドメインを操作する前にブロック)です。権限監査、デバイスセッション確認、盗難デバイス保護を追加すれば、2026年の実際のiPhoneユーザーに影響を与えるすべての主要な攻撃ベクターに対処したことになります。完全なセットアップには30〜45分かかります。セキュリティの改善は大幅なものです。