生活拠点を海外に移し、移動しながら暮らす。そんな生活様式において、スマートフォンは単なる連絡手段ではなく、生活そのものを支える基盤になっている。銀行口座へのアクセス、ApplePayなどのデジタルウォレット、本人認証、現地での情報収集 — そのすべてが一枚の板に集約される。

しかし治安状況がまちまちな海外では、紛失・盗難・押収のリスクが常につきまとう。1台にすべてを集約した端末を失ったときの面倒さ、そして国境検査や公共Wi-Fiといった日常的なセキュリティ脅威を考えると、行き着く結論はひとつだ。リスクの分散と、プライバシーの管理こそが、ノマド生活の生命線である。

この記事では、その実践として「3台体制+SIM戦略」をどう構築するのかをまとめた。(私自身構築中)

なぜGrapheneOS?

ノマドにとってスマホの防御レベルを引き上げる最有力の選択肢が、Pixel専用のセキュリティ強化OS「GrapheneOS」だ。理由は以下に集約される。

1. 国境越えのリスク対策 ノマドは頻繁に国境を越え、税関や入国審査でスマホの検査・押収リスクに晒されます。複数ユーザープロファイル機能で「見せ用」のクリーンな環境を提示できます。GrapheneOSのduress PIN(強制解除用の偽PIN)を入力すると端末データを即座に消去することもできます。

2. 信頼できないネットワークへの常時接続 カフェ、コワーキングスペース、ホテルの公共Wi-Fiを使い続ける生活では、MACアドレスのランダム化(GrapheneOSはデフォルトで接続ごとに変更)やネットワーク単位の権限制御が追跡・攻撃からの防御になります。VPNの利用も推奨。

3. Googleへの依存排除と位置情報の保護 標準AndroidはGoogleに位置情報や利用データを常時送信します。移動履歴そのものが資産であり弱点でもあるノマドにとって、Sandboxed Google Play(Googleサービスを通常アプリとして隔離実行)により、利便性を保ちつつデータ流出を最小化できます。

4. 物理的盗難への耐性 端末の盗難・紛失リスクが定住者より格段に高い生活様式です。GrapheneOSの強化された暗号化、自動再起動(一定時間ロック後にBFU状態へ戻り、データが暗号化キーから切り離される)、USB-Cポートのロック中無効化は、盗まれた端末からのデータ抽出をほぼ不可能にします。

5. 銀行・暗号資産の防衛 収入源がオンラインに集中するノマドは、SIMスワップやマルウェアによる資産窃取の標的になりやすい。GrapheneOSの強化されたサンドボックス、メモリ保護(hardened malloc)、検証付きブートは、銀行アプリやウォレットを動かす土台として最も堅牢です。

6. 検閲国家・監視国家での活動 滞在国によっては政府による端末監視が現実的脅威です。テレメトリゼロのOSは、ジャーナリストや活動家でなくとも「余計な情報を発信しない端末」として機能します。

要するに、家を持たない人間にとってスマホは家・金庫・オフィスのすべてであり、その防御レベルを市販品の数段上に引き上げるのがGrapheneOSです。

携帯3台体制の棲み分け

現在の構成は Pixel(GrapheneOS)/ iPhone / Duress phone(iPhone SE 1st) の3台。役割は明確に分離する。

📱 Pixel(GrapheneOS)= メイン端末・本丸

  • 日常のすべて:連絡(Signal/Session)、ブラウジング(Vanadium)、暗号資産ウォレット、2FAアプリ(Aegis等)、パスワードマネージャー
  • ユーザープロファイルで内部分割:
  • Owner:最小構成、システム管理のみ
  • Profile 2(日常):SNS、メッセージ、ブラウザ
  • Profile 3(仕事):業務アプリ、クライアント連絡
  • Profile 4(隔離):Sandboxed Google Play が必要なアプリだけここに閉じ込める
  • 高額資産のウォレットはここに置くか、後述の通り検討

🏦 iPhone = 金融専用機

  • 銀行アプリ、証券、決済(Apple Pay)のみ。これは正解です
  • 理由:日本の銀行アプリはroot/カスタムROM検出で動かないことが多く、iOSのSecure Enclaveは金融用途には十分堅牢
  • やってはいけないこと:SNS、メール、ブラウジングをこの端末でしない。攻撃面を増やさない
  • SIMは音声・SMS受信用の「公式な番号」をここに。銀行のSMS認証と紐づける
  • 普段は自宅やホテルのセーフに置き、持ち歩かない運用も検討

🎭 Duress phone = 見せ端末・国境用

  • 普通の人間に見える「生活感のある」中身を維持:適度なSNSアカウント、写真、つまらないLINEのやり取り
  • 空っぽすぎる端末は逆に怪しまれるので、定期的に触って自然な利用履歴を作る
  • 国境越え、デモ・取材、治安の悪い地域ではこれだけ持ち出す
  • 本物の認証情報は一切入れない

横断ルール

  1. SIM戦略: iPhone=本名紐付け番号、Pixel=データ専用e-SIM(海外渡航ごとに使い捨て可)、Duress=プリペイドSIM。番号で端末同士をリンクさせない
  2. クラウド分離: 3台で同じApple ID/Googleアカウントを共有しない。位置情報で相関される
  3. 同時携帯の罠: 3台同時に持ち歩くと基地局ログで「同一人物の端末群」として相関分析されます。気にするレベルの脅威モデルなら、Duress運用時は他2台の電源を切る(BFU状態に戻す意味でもGrapheneOSは再起動)
  4. 暗号資産の置き場所: 本気の金額ならどの携帯にも置かず、ハードウェアウォレット+Pixelは閲覧用ウォレット(watch-only)に

改善提案: iPhoneの銀行アプリのうちGrapheneOSで動くものは段階的にPixelへ移し、iPhoneを「日本の銀行専用の最小端末」に縮小していくと管理が楽になります。

SIM戦略 — 「身元紐付け=iPhone、使い捨て=Pixel、匿名=Duress」

手持ちのSIMは、タイのnanoSIM(メインバンク紐付け)、ジョージアのnanoSIM(銀行紐付け)、日本のe-SIM、そして渡航先の現地SIM。これを以下の原則で振り分けた。

端末 回線 状態
iPhone タイ物理SIM 常時ON(メイン番号・OTP受信)
iPhone ジョージアeSIM(eSIM化) 普段OFF
iPhone 日本eSIM 普段OFF
Pixel 使い捨てデータeSIM 渡航ごと更新
Duress 現地プリペイドSIM 現地調達

🏦 iPhone(金融機)に集約:T hai SIM + Georgia SIM + 日本e-SIM

  • 銀行OTP受信用の番号はすべてここ。金融アイデンティティを1台に閉じ込める
  • 物理スロットは1つなので、ThaiかGeorgiaのどちらかをe-SIM化(AIS/True、Magti/Silknetいずれも e-SIM対応)。残り1枚を物理スロットに
  • iPhoneは同時アクティブ2回線まで。ただしe-SIMは複数保存して切替可能なので、OTPが必要な時だけ該当回線をONにする運用で十分
  • 日本e-SIMがpovo/楽天系の維持用なら、半年ごとのトッピング/利用条件だけカレンダーで管理

📱 Pixel(GrapheneOS)に: 現地データe-SIMのみ

  • Airalo/Nomad等の渡航ごと使い捨てe-SIM。音声番号なし=身元との紐付けなし
  • 匿名性を上げたいならSilent.link系の暗号資産決済e-SIM(KYC不要)
  • 銀行SIMは絶対に挿さない。メイン端末の電波履歴と金融番号を相関させない

🎭 Duress phoneに: 現地プリペイド物理SIM

  • 現地到着後にキャッシュで買えるもの。生活感の演出にも使う

運用上の注意点

  1. Thai SIMの失効に注意: タイのプリペイドは無チャージで番号失効が早い(通常90日〜)。失効すると銀行(K PLUS、SCB等)の再認証が地獄なので、自動リチャージか定期トップアップを必ず設定
  2. e-SIM化のタイミング: タイの銀行アプリはSIM/端末変更を検知して再認証を要求するものがある。e-SIM移行はタイ滞在中か、再認証手段(パスポート+支店)が使える時に実行
  3. Georgia SIM: Bank of Georgia/TBCならアプリ内認証(スマートOTP)に切り替えられる場合が多い。SMS依存を減らせれば、SIM維持の負担そのものが減る
  4. ローミング設定の確認: 出国前に両銀行SIMの国際ローミングONを確認。現地で「OTPが届かない」が最悪のパターン
  5. iPhoneの回線は普段ぜんぶOFF: OTP受信時だけON。基地局への露出を最小化しつつバッテリーも節約

理想形は「SMS OTP依存を順次アプリ内認証へ移行し、銀行SIMを"保険"に格下げする」ことです。

まとめ

スマホ1台への集約は、ノマドにとって単一障害点(Single Point of Failure)です。 役割分離(メイン/金融/見せ)、SIM分離(身元紐付け/使い捨て/匿名)、アカウント分離の三層でリスクを分散する。

銀行・SIM・Apple Payの再認証は「現地でしかできない作業」が多いので、移行作業は滞在国とタイミングから逆算して設計。セキュリティは利便性とのトレードオフ。完璧を目指すより、自分の脅威モデルに合った「破綻しない運用」を作ることが重要です。

家を持たない生活では、スマホが家であり金庫でありオフィスである。ならばその防御は、定住者とは次元の違う備えが求められる。GrapheneOSで土台を固め、3台体制で役割を切り分け、SIMで身元を分離する — この三層構造が、ノマドにとっての「最小限の要塞」。全部を揃える必要はない。今持っている端末から、できることから始めればいい。

※ キャリアのeSIM対応条件、銀行の認証要件、有効期限ルールは変更されることがあるため、実行前に必ず最新の公式情報を確認してください。

Duress機追加情報

持ち出し・ダミー端末の構成は、決済機能を持ち出したいので未だ構成を考慮中。Wiseのデジタルカードが使えれば一気に解決できるのだが。。。

Duress機の哲学 — 「見られても何も出ない」を設計する

Duress機のiPhone SE 1stには、A9チップ由来のcheckm8脆弱性(BootROMレベル、ソフト修正不可)がある。フォレンジックツールで当局は比較的容易にデータ抽出できる — つまり「押収されたら中身は見られる」前提の端末だ。

しかしDuress用途では、これが逆に好都合になる。「簡単に解析できて、何も出てこない」のは検査側を納得させる理想形だからだ。鉄則は以下。

本物の認証情報、パスワードの再利用、本名のリカバリーメールは一文字も入れない メインのApple IDでサインインしない(専用ダミーIDを用意) 他の2台と同じWi-Fi履歴を残しすぎない 一方で課題もある。iOS 15.8で更新は打ち止めとなり、LINEなど主要アプリが順次インストール不可になっている。「生活感の演出」に使える素材が減りつつあるのだ。

そしてもうひとつの誘惑が、4インチという絶妙なサイズ感。ポケットからサッと出してタップする決済専用機として優秀なのだ。だがここに罠がある。本物のカードをApple Pay登録した瞬間、その端末はDuressとして失格になる。 Walletのカードは本名・銀行口座に直結する身元情報そのものであり、検査で開かれれば「ダミー端末」の建前が崩れ、決済履歴という行動記録まで紐づいてしまう。

折衷案としては、WiseやRevolutの使い捨てバーチャルカード/プリペイドのみを登録する方法がある。生活感が出て、漏れても被害が限定的だ。あるいは割り切って「Duressではなくサブ決済機」と再定義し、国境越え用の建付けを別途考える道もある。利便性と身元の切り離しは、どこかで必ずトレードオフになる — それがこの端末の教訓だ。

落とし穴: Apple Payは引き継げない

見落としがちだが重要なのが、Apple Payのカード情報は端末のSecure Elementに紐付いており、クイックスタートで移行しても引き継がれないこと。新端末で1枚ずつ再登録が必要になる。

再登録時にはカード発行元の本人確認(SMS OTP、銀行アプリ内認証、電話認証)が走るため、買い替え時は以下の段取りを「移行デー」として一気に行う。

①銀行アプリ移行 → ②Apple Pay再登録 → ③動作確認 → ④旧端末初期化

これを全SIMが受信可能な環境で実行する。中途半端に進めて国境を越えると、OTPが届かず詰む。旧端末は全カードの再登録完了まで初期化せず温存しておくこと。タイ発行カードは銀行アプリ承認やタイ番号へのSMSを要求するケースが多いため、ここでも作業場所はタイ一択。