iPhoneを2度盗まれた話:エピソード2

2019年8月28日

1年ほど前、盗んだiPhoneと持ち主のApple IDアカウントの関連付けを解除しようとするフィッシングの古典的な手口を紹介しました。犯人の目的は、盗んだiPhoneをスペアパーツとしてではなく、完璧な中古スマートフォンとして転売することでした。そうすれば売値が上がるのです。

前回、運は犯人の方にあったようで、iCloudのユーザー名とパスワードをまんまと釣りあげられてしまいました。今回紹介するのは、もっと複雑な手口です。iPhoneを盗んで被害者のIDを狙う「プランA」と、これを何とかかわすことができた人を陥れる可能性のある「プランB」で構成されています。

ステップ1:iPhoneの盗難

ある日、同僚のアンナが公園のベンチにiPhoneを置き忘れたことから話は始まります。20分後に戻ってみると、iPhoneは跡形もありませんでした。目撃者はなく、iPhoneに電話をかけても応答はありません。アンナはすぐに友人のiPhoneを借りて「iPhoneを探す」アプリの「紛失モード」をオンにし、見つけた人がアンナに連絡を取れるように、表示させるメッセージには友人の電話番号を追加しました。

1日が経ち、見つけた人から連絡が来るという望みは薄れました。「iPhoneを探す」を確認しても、iPhoneはオフラインのままです。アンナは「iPhoneを消去」のオプションを使う覚悟を決めました。

iPhoneは「消去保留中」モードのまま

iPhoneは「消去保留中」モードのまま

「iPhoneを消去」は、iPhoneがインターネットに接続すると同時にiPhoneからすべてのデータを消し去り、使用できなくする便利な機能です。しかし、犯人はiPhoneの仕組みをよく知っているようでした。Appleデバイスと持ち主のiCloudアカウントとの関連付けを解除する闇の技術に長けた人物が絡んでいるのかもしれません。どちらにしろ、iPhoneは紛失の瞬間から1秒たりともオンラインにならなかったので、データ消去の手段は使えませんでした。

ちなみに、iPhoneがTouch IDで保護されていても、ロック画面を上方向にスワイプしてコントロールセンターを表示し、ここで機内モードをオンにすれば、Wi-Fiとモバイルデータへのアクセスを切断できます。iPhoneのロックを解除する必要はありません。

既定では、コントロールセンターはロック画面で表示される

既定では、コントロールセンターはロック画面で表示される

iPhoneのSIMカードは2日間にわたってブロックされないままで、犯人にはこのSIMカードを使ってアンナの電話番号を調べるだけの時間がありました。3日目、古いSIMカードは電話会社により停止され、同じ電話番号の新しいSIMカードがアンナの新しいiPhoneに差し込まれました。

ステップ2:フィッシングSMS

4日目、犯人は盗んだiPhoneの市場性を高めるため、アンナのApple IDとの関連付けの解除に取りかかりました。彼らはまず、米国とおぼしき電話番号から数回電話をかけてきました。電話に出ても相手は無言でした。

犯人からのテスト通話。IPテレフォニーでは番号を簡単に置き換えできる

犯人からのテスト通話。IPテレフォニーでは番号を簡単に置き換えできる

この電話は、SIMが再発行されて番号が再び使用可能になったかどうかを確認するためでした。最後の電話があった直後、アンナの元に、盗まれたiPhoneがオンラインになり所在地が分かったことを知らせるSMSが届きました。

盗まれたiPhoneがオンラインになり所在地が分かったことを知らせるフィッシングSMS

盗まれたiPhoneがオンラインになり所在地が分かったことを知らせるフィッシングSMS

このフィッシングメッセージはよくできていました。アンナが怪しまなかったのは、送信者を「Apple」に置き換えて送られてきていたからです。メッセージ内のフィッシングリンクも、非常にもっともらしく見えました。このURLをブラウザーに手入力したところ、ページは存在しませんでした。ところが、リンクをタップすると、フィッシングサイトにリダイレクトされたのです。これはどういうことでしょう?

実は、「icloud.co.com」はAppleが所有する実在のドメインですが、SMS内のリンクは「icIoud.co.com」でした。3番目の文字は大文字のI(アイ)であって、小文字のl(エル)ではありません。このリンクをタップすると、本物そっくりのフィッシングページが表示されました。紛失したiPhoneを探すためにApple IDとパスワードの入力が求められています。しかし、そのページをよく見れば、アドレスが違っていることが分かります。

モバイルブラウザーで開いたフィッシングページ

モバイルブラウザーで開いたフィッシングページ

興味深いことに、このページは表示に使うデバイスやブラウザーによって見た目が異なります。おそらく犯人は、さまざまなフィッシングの企ての中で、このWebサイトをプラットフォームに合わせて使用しているものと思われます。

同じフィッシングページのデスクトップ版

同じフィッシングページのデスクトップ版

アンナはフィッシングフォームに入力しませんでした。これが偽物だとすぐに気付いたからです。それだけでなく、彼女のiPhoneは、盗まれてからずっと「iPhoneを探す」アプリでオフラインのままでした。

これでこの話は終わったように見えました。しかし、アンナのApple IDとiPhoneの関連付けを解除できなければ、犯人は転売で利益を得られません。そこで、彼らは「プランB」に切り替えました。

ステップ3:「サービスセンター」からの電話

フィッシングメッセージが送られてから3時間後、アンナがフィッシングページにアカウント情報を入力するつもりがないことが明らかなころ、アンナの元に電話がかかってきました。相手はサービスセンターの者だと名乗り、iPhoneの機種と色を正確に述べ、このiPhoneを紛失したのではないかとアンナにたずねました。この男は、iPhoneを町の反対側にあるショッピングモール内のサービスセンターで預かっているので取りに来るようにと言いました。

フィッシングの記憶がまだ鮮明に残っていたアンナは、通話の相手が犯人かどうかを確かめるため、どのようにしてiPhoneを手に入れたのか、この電話番号がなぜわかったのか、当然の質問をいくつか投げかけました。相手は素っ気なく答えました。「いらないなら来なくていいですよ」。

男が言うには、サービスセンターにiPhoneを持ってきた人たちが怪しげだったのでデータベースを検索してみたところ、このiPhoneは紛失されたものとして登録されていたとのことでした。このデータベースには、アンナの電話番号も登録されていたと言います(一体どんなデータベースなのか…)。かいつまんで説明すると、届けた人たちがiPhoneを取りに戻ってくるまでの1時間の間に、アンナはiPhoneを引き取らなければならないというのでした。

先へ進む前に、技術的なことを確認しておきましょう。このiPhoneが誰かの落とし物であることを知るには、まずiPhoneの電源を入れなければなりません。電源がオンになると、画面上に、これが紛失したiPhoneであることを知らせるメッセージと、持ち主に連絡を取るための電話番号が表示されます。思い出してください。アンナが使っていたSIMカードがiPhoneと共に盗まれてしまい、新しいSIMカードはまだ発行されていなかったため、アンナは自分のではなく友人の電話番号を指定しました。つまり、メッセージに表示された連絡先番号にかけるとしたら、アンナが指定した友人の番号に電話がかかってきたはずです。

さらに、「サービスセンター」を自称する人と話しながら、アンナは自分のiPhoneがオンラインになったかどうかを確認しました。オンラインになっていないことを確認し、その旨を伝えると、すでに別のApple IDと関連付けられたのだろうと相手はすぐに答えました。この状況から感情と心理的プレッシャーを排除できていたなら、これが詐欺を突き止めた瞬間となったでしょう。しかし、現実はどのように展開したか、続きを見てみましょう。

次に、サービス担当者を装った男は、アンナのために他のお客さんを足止めするわけにはいかないので、先に来た人たちが取りに来たら彼らにiPhoneを渡すと告げました。また、1時間以内にショッピングモールに来られないようなら電話してほしい、とも。そして、話は思わぬ展開を見せます。男は、iPhoneを購入したときのパッケージと身分証明書を持って来るように言ったのです。万が一に備えて数人の友達を連れ、アンナはタクシーでショッピングモールへ向かいました。現地までは車で30分。制限時間には十分間に合います。

途中でアンナは「サービスセンター」に電話し、何か新しい情報はないかとたずねました。男は「iPhoneを探す」アプリを開くように言い、矢継ぎ早に質問を始めました。何が表示されているか、iPhoneのアイコンの横にある丸の色は何色かなど、まるで本当にこの一件を調査しているかのように。

もう少しで到着することを告げると、男はアンナに、もう一度iCloudにログインしてデバイスが表示されたかどうかを確認するように言い、さらに、[iPhoneを消去]ボタンをタップし、表示された警告メッセージの中に特定の単語が含まれているかどうかを確認して欲しいと言いました。アンナは言われたとおりにボタンをタップし、警告メッセージの内容を伝えました。「分かりました」と彼は満足そうに言いました。「iPhoneとiCloudの関連付けは解除されました。もう一度関連付けするには、タップして削除を承認する必要があります。その後で再接続されます」

もちろん、アンナはそうしませんでした。緊張に満ちた状況でしたが、何があってもiPhoneと持ち主のアカウントの関連付けを切断してはならないことを覚えていたのです。アンナは「それはセンターに行ってからやります」と答えました。

数分後、再び電話してきた犯人は、今度はソーシャルエンジニアリングを仕掛けてきました。先に来た人たちがiPhoneを取りに戻ってきた、彼らに渡すかどうかを今すぐ決めなければならない、と揺さぶりをかけてきたのです。

背後に聞こえる雑踏のノイズ、「どうなんだ?」と尋ねる複数の声、「もう少しお待ちを」とそちらに答えながら、クラウドからiPhoneを切断するようにとアンナにしつこく求め続ける犯人。アンナは言いました。「もうすぐそこまで来ています。警察にも連絡しました。警察もそっちに向かっています」。しかし、男は答えました。
「監視カメラの映像はすべて渡しますが、これ以上、お客様を待たせるわけにはいきません。スマートフォンはこちらの方に渡します」

案の定、ショッピングモールにサービスセンターなどありませんでした。さらに、地元の警察官が後日教えてくれたところでは、そのような場所は存在しないが、詐欺師が被害者をその場所に誘導することはよくあるとのこと。警察官は詐欺師の手口を詳しく話してくれましたが、アンナに仕掛けられたものとまったく同じでした。

それ以来、犯人が連絡を取ってくることはありませんでしたが、その後数日間はフィッシングSMSの着信が続きました。アンナが根負けしてパスワードを入力することを期待しているのは明らかでした。

フィッシングSMSの着信はしばらく続いた

フィッシングSMSの着信はしばらく続いた

結局、アンナはiPhoneを取り戻せませんでした。しかし、犯人の餌にも引っかかりませんでした。盗まれたiPhoneはアンナのApple IDに関連付けられたままで、「iPhoneを消去」モードもオンになったままです。オンラインに戻すと同時に、中身が消去されて「文鎮」と化すでしょう。犯人はスペアパーツとして売るということで妥協しなければならないのです。

iPhoneを盗まれた、またはなくした場合には

では、iPhoneを紛失した場合、または盗まれた場合にはどうすればいいでしょうか?最後にまとめておきましょう。

  • すぐに「iPhoneを探す」アプリの「紛失モード」をオンにしましょう。
  • 携帯電話キャリアに連絡し、SIMカードを停止してもらいましょう。特にパスコードを設定していない場合は、すぐに停止しましょう(既定では、パスコードは無効化されているか、0000のようなシンプルなものに設定されています)。
  • iPhoneが手元に戻ってこないことが分かったら、すぐに「iPhoneを消去」機能を有効にしましょう。
  • 偽物の電話をかけることができるのと同じように、偽物のSMSを送ることも可能です。SMSで届いた情報が「iPhoneを探す」に表示されている情報と一致しない場合は、誰かがあなたをだまそうとしていると考えてよいでしょう。
  • 本物の「iPhoneを探す」関連のメールが届いているかどうか、メールボックスをチェックしましょう。そのようなメールが届いていなければ、iPhoneに関する内容のSMSは偽物の可能性があります。
  • icloud.comにアクセスするときには、SMSで届いたリンクをクリックするのではなく、URLをブラウザーに慎重に手入力しましょう。リンクをクリックして開いたページには、絶対にApple IDやパスワードを入力しないでください。
  • 落ち着きましょう。相手は今すぐ判断するように迫ってあなたを焦らせるでしょうが、それが彼らの作戦です。屈してはいけません。
  • どのようなことがあっても、犯人からどれほど強いプレッシャーをかけられても、紛失したスマートフォンを「iPhoneを探す」アプリから削除しないでください。