Android 17とPIN保護:総当たりツールはほぼ行き止まりに

Danny Weber

GoogleはAndroid 17でロック画面の制限を強化し、長期的なPIN入力試行を1,800回からわずか19回に減らします。

Android 17は、攻撃者や専用ツールが自動的にさまざまなPINコードを試す総当たり攻撃へのスマートフォン保護を大きく強化します。この手口は、盗まれた端末を狙う犯罪者だけのものではありません。押収したスマートフォンを解除しようとする場面で、法執行機関が似た方法を使うケースもあります。今後は、試行できる余地がかなり小さくなります。

Android 16では、最初の1分で10回、最初の6分で20回、25分で50回、1日で110回、5年間で最大1,800回のPIN入力が可能でした。総当たりツールにとって重要だったのは、この長期的な上限です。十分な時間があれば、よく使われる4桁の組み合わせをかなり試せたからです。

Android 17では、この制限がかなり厳しくなります。最初の1分で6回、6分で7回、25分で8回、1日で12回、5年間ではわずか19回しか試せません。20回間違えると、スマートフォンは完全にロックされます。自動的な総当たりにとっては、攻撃シナリオがほぼ止まる形です。ツールはすぐ上限に達し、それ以上続けられません。

4桁のPINだけでも10,000通りの組み合わせがありますが、新しい待機時間と20回という硬い上限により、総当たりは実用上ほぼ無意味になります。Googleは通常のユーザーの入力ミスもより丁寧に扱います。Android 16 QPR2以降、同じ誤ったPINを連続して何度も入力しても、システムはそれを別々の試行として数えません。ロック画面には、残り試行回数や待機時間についてより分かりやすいメッセージも表示されます。

ただし、新しい保護は基本的なセキュリティ習慣の代わりにはなりません。1234、0000、生年のような弱いPINは、最初の数回で推測される可能性があります。顔認証や指紋認証を強制的に使わされるリスクも別に残ります。結論はシンプルです。Android 17以降は、長く予測しにくいPINがこれまで以上に重要になります。

© A. Krivonosov