パスコードがバレたiPhoneを盗まれるとApple IDのログインが不可能に

ASCII.jp / 2023年4月28日 9時0分

ポイントは「復旧キー」にある

　スマートフォンは、我々の生活に欠かせなくなったデバイスだ。もっとも、個人情報が大量に入っている、オンラインで利用することが多いという点で、サイバー攻撃の対象になることも多い。

　当然、重要なものなので、紛失には気をつけているという人も少なくない。肌見放さず持っていたり、バッグなどに入れておいたりすることが多いはずだ。それでも、盗難の被害に遭わないとは言い切れない。

　そこで、「とはいえ、パスコードを設定しているから、盗まれても勝手に操作されることはない」と思っていると、危険かもしれない。

　ウォール・ストリート・ジャーナルによると、iPhoneのパスコードを知られたあとに端末を盗難された被害者が、「Apple IDにアクセスできない」というトラブルに見舞われているという（The iPhone Setting Thieves Use to Lock You Out of Your Apple Account - WSJ）。

　このトラブルにおける重要な点は、iPhoneを盗んだ側が「その端末のパスコードを知っている」ことだ。その場合、設定アプリで、被害者のApple IDのパスワードをリセットすることが可能になってしまう。iPhoneのFace IDやTouch IDが有効になっていても、リセットできてしまうことにも留意しておきたい。

　さらに、アップル製のデバイスには、「復旧キー」を生成する機能があることもポイントだ。復旧キーはランダムに生成される28文字のコードで、パスワードをリセットする際や、Apple IDへのアクセスを復旧する際に使うもの。復旧キーを作成した場合、Apple IDへのアクセス権を得るには、復旧キーと端末の両方が必要になる。

　復旧キー自体は、端末のパスコードを知っていれば作成できてしまうほか、すでに作成されていたとしても、新しい復旧キーを作成することも可能だ。

　Appleの公式サイトには、「信頼できるデバイスや復旧キーを必ず使えるよう自分で管理しなければなりません。両方ともなくしてしまうと、アカウントから完全にロックアウトされてしまう可能性があります」「復旧キーを生成すると、アカウントの復旧は利用できなくなります」とある（復旧キーを生成する方法 - Apple サポート (日本)）。

　したがって、パスコードを知られてしまったiPhoneを盗まれ、さらに復旧キーを新しく生成されてしまった場合、被害者側はApple IDにログインできなくなり、リセットすることも不可能になる。

　ウォール・ストリート・ジャーナルは、公共の場においてはパスコードの入力を控えて、可能な限りFace IDまたはTouch IDを使用するように勧めている。もちろん、端末自体の紛失・盗難に気をつけるのも重要といえるだろう。

アップデートを忘れずに、覗き見にも注意

　iPhoneを利用するにあたり、パスコードを他人に覗き見されないようにすること、端末を紛失しないようにすることは基本だ。しかし、スマートフォンを利用する際には、他にも気をつけたいことはある。

　一例としては、プログラムの不具合や設計上のミスなどが原因となり発生する情報セキュリティ上の欠陥、「脆弱性」がスマートフォンに発見されることがある。

　世界的にユーザー数も多いiPhoneともなれば、サイバー犯罪者にとっては格好のターゲット。新製品、あるいは新しい機能がリリースされば、多くの人が脆弱性や本体のセキュリティの「穴」を探し始める。

　一方で、端末やアプリを提供するメーカーは、問題があれば早急に対応するもの。脆弱性が見つかれば、研究者はメーカーに報告し、メーカーはOSやアプリなどをアップデートする。

　逆に言えば、脆弱性への対策を怠った場合、サイバー攻撃者に乗っ取られたり、ウイルスに感染させられたりしてしまう可能性もある。スマートフォンを使う際は、定期的なアップデートが肝心だ。もちろん、iPhoneに限らず、Androidユーザーにも同じことがいえるだろう。

　自分の使用している端末の情報をチェックし、すばやくアップデートするだけでも、脆弱性を突いた攻撃を防ぎやすくなる。セキュリティソフトウェアをインストールすることも基本だ。

　そして、スマートフォンの紛失・盗難対策用の設定をしておくことは、ますます重要になるだろう。その上で、パスコードなどを覗き見されないように注意する必要もある。

　今回は、McAfee Blogから「ハッカーによるスマホのハッキングの手口と被害の回避方法」を紹介しよう。（せきゅラボ）

※以下はMcAfee Blogからの転載となります。

ハッカーによるスマホのハッキングの手口と被害の回避方法：McAfee Blog

自分のスマホがハッキングされると考えたら、誰でも恐怖を感じることでしょう。しかし、実際には、ハッカーはどんなスマホでもハッキングすることができるのです。

ハッカーが本気になれば、最も洗練されたスマホのソフトウェアでさえもハッキングできるようになっています。しかし、どのようにハッカーは私たちのスマホをハッキングするのでしょうか？また、ハッキングを回避する方法はあるのでしょうか？

ハッキングツール／スパイウェア

Androidをはじめとするモバイル端末用のハッキングツールが存在することをご存知でしょうか？また、オンライン上の無料で使えるハッキングソフトですら無数に存在しています。ハッキングツールは、ハッカーがスマホから情報を抜き取るために使用する手口です。

たとえば、電話用スパイアプリなどは、対象となる携帯電話にインストールする必要があります。すべてのハッカーが、ハッキングツールをインストールするために携帯電話を物理的に扱う必要があるわけではありませんが、場合によってはそうしなければならないこともあります。また、本格的なハッカーだと、既存のハッキングツールを改造して、さらに強力なものを作っています。

マルウェアに分類されるキーロガーは、パソコンやスマホのキーボードの操作を不正に記録し、その情報を盗みとるというスパイウェアです。この種のツールは、携帯電話に物理的にアクセスすることで利用できます。

トロイの木馬も、クレジットカードの口座情報や個人情報などの重要なデータを抜き取ることができるマルウェアの一種です。トロイの木馬マルウェアをターゲットにインストールさせるために、ハッカーはフィッシングのようなテクニックを使います。

フィッシング

フィッシングとは、ハッカーや悪意のある第三者が信頼できる個人になりすまして、機密データを入手するために用いる手法です。ハッカーはこの手法を用いて、実在する金融機関やショップなどになりすまし、コードや画像、メッセージをメールやテキストメッセージで送信します。

メールやテキストメッセージ内にあるリンクをクリックすると、偽のWebサイトに飛ばされます。偽のWebサイトでIDやパスワード、クレジットカードの情報などを入力した場合、入力した機密情報は盗まれてしまいます。

SIMカードのハッキング

2019年8月、Twitter社のCEOが、フィッシング手法を用いたSIMカードスワッピングにより、SIMカードをハッキングされるという事件が発生しました。SIMカードスワッピングは、ハッカーがあなたになりすまして電話プロバイダーに連絡し、交換用のSIMカードを要求するという手口です。

プロバイダーが新しいSIMをハッカーに送ると、古いSIMカードは無効になり、あなたの電話番号が盗まれてしまいます。これは、ハッカーがあなたの電話やメッセージなどを乗っ取ったことを意味します。このようなハッキング方法は、ハッカーがプロバイダーを騙すことができれば、比較的簡単に行うことが可能です。

AdaptiveMobile Securityは、ハッカーがSIMカードを使って携帯電話に侵入する新しい方法を発見しました。このハッキング方法はフィッシングよりも複雑で、SIMカードをターゲットにして、ターゲットデバイスに信号を送信します。メッセージが開かれ、クリックされると、ハッカーはハッキングされた端末をスパイし、端末の位置情報まで知ることができます。

Bluetoothのハッキング

プロのハッカーは、特殊なソフトウェア製品を使用して、Bluetooth接続が動作している脆弱なモバイル機器を検索することができます。この種のハッキングは、ハッカーがあなたの携帯電話の範囲内にいるときに実施するため、通常は人口の多い場所で行われます。ハッカーがあなたのBluetoothに接続している場合、ハッカーは電話帳や画像、予定表など利用可能なすべての情報にアクセスできる可能性があります。

スマホのハッキングに遭わないための方法

ハッカーがスマホに侵入し、個人情報や機密情報を盗む方法はさまざまです。ここからは、スマホハッキングの被害に遭わないためのヒントをいくつかご紹介します。

1. 携帯電話を持ち歩く

ハッカーがスマホの情報を盗む最も簡単な方法は、携帯電話にアクセスすることです。したがって、常にスマホをそばに置くことが重要です。

見知らぬ人にスマホをハッキングされた可能性がある場合は、設定を確認し、おかしなアプリがないか探してみてください。

2. デバイスの暗号化

携帯電話を暗号化することで、ハッキングされることを防ぎ、通話、メッセージ、重要な情報を保護することができます。デバイスを暗号化するには、以下の方法を試してください。

　・iPhoneユーザー：「Touch IDとパスコード」に入り、一番下までスクロールして「データ保護」を有効にします。　・Androidユーザー：携帯電話の種類に応じて自動的に暗号化されます。

3. SIMカードのロック

SIMカードにパスコードを設定することで、ハッキングから守ることができます。このコードを設定するには、以下の方法を試してください。

　・iPhoneの場合：「設定」→「モバイル通信」→「SIM PIN」の順にタップします。既存のPINを入力すると、ロックが有効になります。　・Androidの場合：「設定」→「ロック画面とセキュリティ」→「その他のセキュリティ設定」と進みます。ここで、｢SIMカードロック設定｣を選択し、SIMカードロックを「オン」にします。

4. Wi-FiとBluetoothをオフにする

ハッカーがWi-FiやBluetoothを使ってあなたの携帯電話に接続するのはかなり簡単です。また、ハッカーがあなたを攻撃するときには警告文が表示されることはないので、どうしても必要なとき以外はWi-FiやBluetoothをオフにしましょう。

公共の場でハッキングされる恐れがある場合は、携帯電話の電源を切ることで、ハッカーのハッキングを阻止することができます。これは効果的な予防方法です。

5. セキュリティプロテクションの利用

スパイウェアからの保護は、無料で簡単に行うことができます。 iPhoneやAndroidに搭載されている「モバイルセキュリティ」アプリは、ハッカーから携帯電話を守るのに役立ちます。サイバー脅威からあなたを守ってくれる包括的なセキュリティーソフト「マカフィートータルプロテクション（McAfee Total Protection）」や、注意すべき悪質なウェブサイトの特定をするソフト「マカフィーウェブアドバイザー（McAfee WebAdvisor）」をお使いのデバイスに導入していると安心でしょう。

まとめ

ハッキングの仕組みや手口を理解することは、日常生活の中でセキュリティを確保するのに役立ちます。ハッキングの被害にあった時の対処法を知っていることで、いざというときに太刀打ちできるようになります。

※本記事はアスキーとマカフィーのコラボレーションサイト「せきゅラボ」への掲載用に過去のMcAfee Blogの人気エントリーなどを編集して紹介する記事です。