なぜApple IDはハッカーに狙われるのか? その手口と対策。

AppBank の主任です。

先月末にトレンドマイクロ社が発表した情報によると、Apple ID をターゲットとしたフィッシング詐欺サイトが最近増えています。

フィッシング詐欺とは、利用者を偽サイトに誘導し、ログインに必要な ID・パスワードなどを入力させ、それらの情報を盗む行為です。

これらの情報を使えばアカウントの乗っ取りも可能です。また、フィッシング以外の方法でも Apple ID が乗っ取られる事例は増えています。

なぜ Apple ID が狙われるのでしょうか? どのような手口で情報が盗まれ、乗っ取られるのでしょうか?

今回は Apple ID が乗っ取られる理由と手口、さらに対策もご紹介いたします。

Apple IDが狙われる理由

理由1:クレジットカードを使うユーザーが多い

AppleIdCreatePhone
最も大きな理由として考えられるのが、Apple ID にクレジットカード情報を登録しているユーザーが多いことです。


Apple ID とクレジットカードは密接に結びついており、ハッカーにとっては格好のターゲットです。

Apple ID を乗っ取れば、そこに登録されている住所や電話番号といった支払い情報を確認できます。しかし、クレジットカード番号・セキュリティコードは分かりません。

そこでハッカーは、フィッシング詐欺の手法を使って Apple ID とそのパスワードと共に、カード番号とコードを入手しようとします。

例えば「Apple ID でログインして、アカウント情報を確認するように」というメールを送り付けて偽サイトに誘導、カード番号も入力させる手法が確認されています。

理由2:iTunes Store/App Storeで利用できる

Apple ID とパスワードを入手することで、iTunes Store のコンテンツや App Store のアプリなどを不正に購入できます。

iTunes Store/App Store にはギフト機能があり、Apple ID を不正使用してコンテンツを購入。自分や第三者の Apple ID に送ることもできます。

Apple ID を乗っ取り、App Store のあるアプリを購入する事例も多く見られました。

Apple IDの情報を盗む・乗っ取る手口

手口1:フィッシング詐欺

最も一般的なのが「フィッシング詐欺」です。

冒頭でお伝えした通り、Apple を騙ったメールを送り付け、利用者を偽サイトに誘導。Apple ID やパスワードを送信させる手口です。

Apple ID にはセキュリティ質問が既に導入されていますが、偽サイトでこうした情報も入力させるようになっていれば突破できてしまいます。

以下のメールは、海外で実際にフィッシング詐欺に使われているもの。もちろん Apple を騙った、偽のメールです。

Apple ID


(画像引用元:Hackers To Manage Your Apple ID, If Caught From Phishing Bait | Security Intelligence Blog | Trend Micro

現在、App Store では500億回目にアプリをダウンロードした利用者に1万ドル分のギフトカードをプレゼントするキャンペーンを行っています。

こうしたキャンペーンに便乗し、「当選しました」という偽のメールを送って Apple ID・パスワードを入力させるフィッシング詐欺が登場する可能性もあります。

手口2:ハッキング

Apple ID はメールアドレスなので、何らかの方法でメールアドレスを入手。App Store などでそれらしいパスワードを入力してログインを試みる方法です。

こうした手口でパスワードを推測する際に使われるのが「ソーシャルハッキング」です。

Facebook や Twitter といった SNS をチェックし、そのアドレスの持ち主の生年月日や趣味などを探ります。多くのユーザーはこうした要素をパスワードに含めるからです。

手口3:ウイルス

ウイルスに感染させ、PC を秘密裏に監視。キーボードで入力した Apple ID やパスワードを盗み取ります。

対策

共通の対策は「2段階認証」です。ID・パスワード以外に、その時々で生成するコードを入力するので、アカウントの乗っ取りが困難になります。

この機能は日本からも利用可能になりましたが、一部の Apple ID では設定ページに2段階認証の項目が表示されていない場合もあるようです。

設定方法については Apple のウェブページをご覧下さい。

Apple ID:Apple ID の 2 段階認証についてよくお問い合わせいただく質問 (FAQ)(Apple)

———

気になる、記になる…によると、日本では、2段階認証の機能はまだ正式に提供されていないようです。

(2013年5月13日 13:30追記)

フィッシング詐欺への対策

多くの場合、フィッシング詐欺は送られてくるメールに注意することで防げます。

特に要求していないのに、アカウントに関するメールが Apple から届いた場合は要注意

Apple ID を狙ったフィッシング詐欺の場合、「アカウントが無効になる・情報の更新が必要」といったメールで偽サイトに誘導することが多いからです。

そういったメールを受け取った場合は、決して文中のリンクを開かないで下さい

Apple ID の無事を確認する場合は、Apple のウェブサイトに直接アクセスして Apple ID のサポートページからログインするようにしましょう。

偽の Apple のウェブサイトを見分ける方法もあります。詳しくはこちらをご覧下さい。

Apple IDの乗っ取りに注意!情報をだまし取るフィッシングサイトが増加傾向に。

ハッキングへの対策

1つはメールアドレスの変更です。普段使っているアドレスではなく、Apple ID 専用のものを用意して使いましょう。

この専用のメールアドレスは非公開とし、他のサービスでは使わないようにしてください。こうすることで第三者が Apple ID を入手することは難しくなります。

「@mac.com」や「@me.com」「@icloud.com」で終わるメールアドレスの場合は変更できません。

もう1つはパスワードの変更です。定期的に全く新しいパスワードに変更することも重要ですが、より重要なのは推測されにくいパスワードにすること。

記号・英数字を組み合わせるのはもちろん、できる限り単語を使わないようにしましょう。辞書を使ってパスワードを入力する手法を防ぐためです。

ウイルスへの対策

Mac であっても Windows であっても、ウイルス対策ソフトをインストールしましょう。昨今では Mac に感染するウイルスも増えています。

さらに OS や使っているソフトは常に最新の状態にアップデートしましょう。ウイルスはアップデートされていない OS やソフトの弱点を突きます。

「不審なファイルやウェブページを開かない」といった心がけも重要です。

参考

バックナンバー

参考になったらシェアお願いします!
▼新着記事やオススメ記事を投稿中!
Twitterをフォローする → AppBank(@appbank)
Facebookページをいいねする → AppBank

オススメ