新たな報告書によると、窃盗犯がiPhoneと対応するパスコードの両方を所持している場合、ユーザーのデジタルライフ全体が危険にさらされる可能性があることが明らかになりました。これは決して新しいことではありませんが、リスクを軽減するための簡単な手順がいくつかあります。
この「ハッキング」とは、被害者がパスコードを入力するのを盗み見ながらiPhoneを盗み、データにアクセスするというものです。ウォール・ストリート・ジャーナルによると、あるケースでは、被害者がAppleアカウントにアクセスできなくなり、銀行口座から約1万ドルが失われました。
ログインパスコードは他のほとんどのアプリやシステム設定にもアクセスできるため、窃盗犯はそれを使ってApple IDのパスワードを変更し、被害者を締め出すことができます。「一度iPhoneに侵入すると、まるで宝箱のようです」と、昨年秋に退職するまでニューヨーク市警の刑事として、著名な窃盗団を捜査していたアレックス・アルジロ氏は言います。
窃盗犯はデバイスのパスコードを使ってiCloudキーチェーンにアクセスできるため、個人のオンラインライフ全体が危険にさらされる。アルジロ氏によると、こうした便乗犯罪はニューヨークで過去2年間で増加しているという。「増加傾向にあります」と彼は述べた。「まさに便乗犯罪です。誰もが金融アプリを持っているのですから」
ウォール・ストリート・ジャーナルがインタビューした被害者は全員、バーなどの公共の場でiPhoneを盗まれた。中には、身体的暴行を受けたり、脅迫されて携帯電話とパスコードを手渡させられたり、薬物を盛られたと信じ込んだりしたケースもあった。
ある事件の主任捜査官であるロバート・イレッチコ巡査部長によると、2、3人の窃盗犯がバーに行き、被害者と仲良くなってiPhoneにアクセスしようとするという。被害者がパスコードを入力するのを見られない場合は、ソーシャルメディアアプリを開かせたり、写真を撮らせるためにiPhoneを渡させたりしようとする。
同様の事例はオースティン、デンバー、ボストン、ロンドンでも報告されている。
別のケースでは、パスポート、運転免許証、給与振込用紙、健康保険証の写真を写真アプリに保存していた男性が個人情報を盗まれました。彼はApple IDへのアクセスを回復しましたが、犯人は機密情報をそのまま保持していた可能性が高いです。
出典:エリザベータ・ガルキナ/ウォール・ストリート・ジャーナル
Face IDやTouch IDはパスコードを入力する必要がないため、こうした攻撃を防ぐのに役立ちます。しかし、ニューヨークでは当局がFace IDをiPhoneへの侵入口として利用できる可能性を示唆しています。
パスコードと同様に、窃盗犯は生体認証を使ってログインした被害者のiPhoneを盗み、スリープモードに入るのを阻止することができます。ただし、Face IDやTouch IDの設定にアクセスするにはパスコードが必要となるため、このアクセスはより制限されます。
Appleユーザーは、「設定」>「Face IDとパスコード」でFace IDの「注視検出」機能をオンにできます。この機能は、ログイン認証の前にiPhoneを見つめる動作を要求するため、麻薬を吸った窃盗犯でもこの方法でiPhoneにログインできなくなります。
ウォール・ストリート・ジャーナルが指摘したように、iOSではApple IDに新しいパスワードを設定する前に古いパスワードを入力する必要はありません。iOS 16.3でサポートされたハードウェアセキュリティキーでは、パスコードのみによるアカウント変更を防止できませんでした。
パスコードを使用して、アカウントからセキュリティ キーを削除することもできます。
Appleの広報担当者は、アカウント回復ポリシーは悪意のある人物によるアカウントへのアクセスからユーザーを保護するために導入されていると述べた。
「このような経験をされたユーザーには心よりお見舞い申し上げます。たとえ稀なケースであっても、ユーザーに対するあらゆる攻撃を非常に深刻に受け止めています」と彼女は述べ、Appleはデバイスとパスコードの盗難が必要となるため、こうした犯罪は稀だと考えていると付け加えた。「ユーザーアカウントの安全を守るため、引き続き保護対策を強化していきます」
Apple では通常、窃盗犯が Apple ID に被害者がアクセスできない回復キーを設定した場合、ユーザーが盗まれたアカウントに再度アクセスすることを許可しません。
自分を守る方法
ウォール・ストリート・ジャーナルがなぜこれを新たな緊急事態、あるいは新たな攻撃ベクトルのように扱っているのかは定かではありません。パスコードの盗難は常にユーザーにとってある程度の懸念事項であり、そのコードを安全に保管しておくことは常に良いアドバイスでした。
いくつかのケースでは、iCloudフォトに保存された納税申告書を利用して、窃盗犯が被害者の社会保障番号を盗むことに成功しました。一部のAppleアプリではテキスト検索が可能で、Appleフォトで「SSN」または「TIN」(納税者番号)を検索すると、書類の写真が表示されました。
iCloudの暗号化はオンラインハッキングの防止に役立ちますが、iPhoneにアクセスした犯人が機密情報にアクセスするのを防ぐことはできません。そのため、Appleのメモ、写真、その他のアプリに機密情報を保存するのは危険です。
次に、Apple ユーザーは、他の人が同じことをできないように、独自の Apple ID 回復キーを設定する必要があります。
- iPhone または Mac では、「設定」 > 「あなたの名前」 > 「パスワードとセキュリティ」に移動します。
- 「回復キー」をタップし、スライドして有効にします。Macの場合は、 「アカウント回復」の横にある「管理」をクリックします。
- 「回復キーの使用」をタップし、デバイスのパスコードを入力します。
- それを書き留めて安全な場所に保管し、次の画面で確認してください。
また、「設定」>「Face IDとパスコード」でFace IDの「注視検出」を設定することも推奨されます。これにより、薬物を投与されてFace IDでロック解除されるという理論上の攻撃を防ぐことができます。
おそらく、Appleはこうした犯罪を防ぐためにもっと多くの対策を講じる必要があるだろう。しかし、当面はこれまでと同様に、Appleユーザーは公共の場でパスコードを入力したり、見知らぬ人にデバイスを渡したりする際に注意する必要がある。
