連載
» 2018年08月28日 07時00分 公開

半径300メートルのIT:「iPhoneを探す」を数時間で無効に スマホを盗んだ犯人の巧妙な手口とは (1/2)

指紋認証や顔認証、紛失したデバイスを探す機能など、スマホのセキュリティは年々進化しています。しかし、それで安全性が手に入るかどうかはまさにユーザー次第。誰にでもある「弱点」を使って、セキュリティのプロさえだます手口が出てきているのです。

[宮田健,ITmedia]

 セキュリティベンダー大手のカスペルスキーが公開しているブログに、大変興味深い記事が掲載されました。そのタイトルは「iPhoneを2度盗まれた話」。その内容は、背筋が凍りそうな恐怖を感じさせるものです。

 このストーリーは、文字通り著者のiPhone Xが盗まれる場面から始まります。カスペルスキーに勤務し、セキュリティのスキルも経験もある人から“完全に”iPhoneを盗んでしまった犯人は、敵ながらあっぱれ。個人的にも真っ青になるほどの鮮やかな手口でした。その結末は、ぜひあなたの目でご確認ください。

セキュリティに100%がない理由、それは“あなた”にある

 今回の手口は、ひと言で表現すれば「フィッシング」です。皆さんのメールボックスにも、さまざまな国から日々フィッシング目的のメールが届いているのではないでしょうか。もしかしたら「貴様のアカウントの利用中止です」というような、明らかに日本語としておかしい文面に笑ってしまった経験があるかもしれませんね。ある意味、日本人は日本語という“ファイアウォール”に守られているともいえるでしょう。

 しかし、その状況は徐々に変わりつつありますし、メールの文面に不自然さもなくなってきています。日本に比べて言語の壁が低い海外の状況を見ておくと、将来私たちがさらされる攻撃の姿が分かるかもしれません。その一例が、今回の「2度盗まれた」話なのです。

 上記のブログでは、iPhoneをなくした場合でも、画面ロックをかけてある程度情報を守れること、そしてAppleが提供する「iPhoneを探す」機能で端末をロックし、端末に届いたメッセージを閲覧できることを、著者は理解していました。彼女は、遠隔操作で端末を「紛失モード」にし、拾った人に知らせてもらえるよう、ロック画面に自分の連絡先(電話番号)を表示していました。ここまでは、教科書通りの対応といえるでしょう。

photo 今回の攻撃では、「一通りのフィッシング攻撃は知っていた」という著者さえ、不安に付け込んだ犯人の手口にまんまと乗ってしまったようです

 しかし、著者からのメッセージを受け取った犯人は、受け取った電話番号を使って巧妙なフィッシングのメッセージを送り、IDとパスワードを盗むフィッシングサイトへ著者を誘導しました。この点は、相手が一枚上だったといわざるを得ません。iPhoneは、いったん盗まれたとしても、iCloud上で「アクティベーションロック」を実行すると、Apple IDなしに端末を利用できなくなります。盗んでも売れないことが分かれば、犯罪者もiPhoneを狙うことはないでしょう……と言いたいところですが、そうと知っていた犯人は、物理的な端末だけでなく「ID、パスワードをうまく盗む」方向に舵を切ったようです。

 iPhoneを守る仕組みである、画面ロックや「iPhoneを探す」機能、アクティベーションロックなどは、全て「持ち主によって解除される」必要があります。攻撃者はその点を理解し、「持ち主の脆弱(ぜいじゃく)性を攻撃する」ようになったのです。

 また、今回の犯人は、持ち主の個人情報には目もくれず、むしろデバイスを個人のアカウントと切り離して売却できるよう、「iPhoneを探す」をオフにする目的でフィッシングを実行しました。“相手がパニックになっているところに付け込む”という、見事な手法で。

 こうした、いわば“心の隙”を突いた攻撃を、どうすれば防げるのでしょうか?

       1|2 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ

マーケット解説

- PR -