iOSデバイスを紛失した/盗まれた人の心理につけ込み、iCloudのログイン情報を盗み取ろうとするフィッシングサイトが、最近になって開設されているという。米Symantecが3月2日付の公式ブログで伝えている。
ある事例では、iOSデバイスを紛失した/盗まれた人のもとに「Apple Inc. Your iPad Air 3G 64GB Space Gray linked to (b**@hotmail.com) has been located today at 19:00 PDT. See location: http://i-cloud.……」といったメッセージが届いた。なくしたデバイスの位置情報を確認できると思ってリンクをクリックすると、実はiCloudの偽ログインページ。そこでApple ID・パスワードを入力してしまい、それが犯罪者の手に渡るというわけだ。
偽ログインページは多言語対応(英語、スペイン語、イタリア語、フランス語、ドイツ語、ポルトガル語、中国語、ロシア語、ベトナム語、インドネシア語の10カ国語)になっているというが、今のところ日本語は含まれていない。
iPadの盗難被害に遭った持ち主のもとに届いたメッセージの例(Symantec公式ブログより画像転載)Symantecでは、このフィッシングサイトについて、iPhone/iPad泥棒向け地下サービスの一部として運用されている可能性を指摘している。
iOSデバイスの持ち主は、デバイスを紛失した/盗まれた場合、PCなど他のデバイスからiCloudにログインすることで、iOSの「iPhoneを探す」機能を使って、該当デバイスを「紛失モード」に切り替えることができる。「紛失モード」にすれば、そのデバイスをリモートでロック・追跡できるとともに、ロック画面に持ち主の電話番号やメッセージを表示し、拾った人に連絡を求めることができる。
一方、デバイスが見つかって「紛失モード」を解除したい場合は、デバイス本体を操作して設定されているパスコードを入力するか、iCloudにログインして「紛失モード」の停止操作を行えばよい。犯罪者はすなわち、iCloudのログイン情報をだまし取ることで、盗んだiOSデバイスの「紛失モード」を解除するのが目的だというのだ。
このほか、Symantecの公式ブログでは言及していないが、iOS7以降で「iPhoneを探す」機能をオンにすると、自動的に「アクティベーションロック」がかかり、紛失・盗難時に第三者がそのデバイスを使ったり、売却できないよう保護される仕組みが備わっている。Apple IDのパスワードは、この「iPhoneを探す」機能をオフにする際にも入力が必要になる。
今回のフィッシング事例では、「紛失モード」のロック画面に表示された連絡先を犯罪者が逆に悪用して、持ち主に接触。前述したような、いかにも「iPhoneを探す」機能から送られて来たかのようなメッセージで、フィッシングサイトへの誘導を図っている。
iOSデバイスをなくした持ち主は、冷静ではなくなっているかもしれない。加えて、メッセージ中のリンク先のURLには「i-cloud」の文字列、さらにリダイレクトされる偽ログインページのURLにも「icloud」の文字列が含まれていることもあり、偽サイトだとは気付かないまま、たやすくフィッシングにひかっかってしまう可能性がある。
iCloudの偽ログインページ。ページデザインは本物そっくりだが、ドメイン名が違う。正規サイトのURLは「https://www.icloud.com」(Symantec公式ブログより画像転載)Symantecでは、見知らぬ送信元から送りつけられて来たメッセージには十分に用心し、訪問先のサイトのURLも慎重に確認するよう呼び掛けている。
なお、犯罪者がフィッシングにまんまと成功し、iCloudにログインして「紛失モード」を解除できたとしても、デバイスのパスコードロックはかかったままだ。Symantecでは、パスコードには複雑な文字列を設定するよう推奨。数字4けたのパスコードは、紛失・盗難対策としては安全性が十分ではないと指摘している。