iPhoneを2度盗まれた話

2018年8月13日

場所:ロシアのモスクワ。
日時:サッカーワールドカップのロシア対スペイン戦開始から5分後。
状況:バーに入ってロシアチームを応援しようとしたとき、iPhoneを盗まれた。

これだけならブログで取り上げるほどの話ではありません。ただ、犯人の手口が巧妙すぎたので、思い切って紹介することにしました。

事はこんなふうに展開しました。

  • 17:00:試合開始。
  • 17:01:モスクワの中心街にある混み合ったバーに入店。空席を探しながら、ずっとiPhoneをしっかり手に持っていた(友人に自分の居場所を教える必要があったので)。
  • 17:07:ボーイフレンドに言われて友人に電話しようとしたとき、iPhoneがないことに気づいて愕然とする。

真っ先にしたのは、別の端末から自分のiPhoneに電話をかけることでした。だめでした…呼び出し音は数秒で途切れてしまいました。そのとき気付きました。iPhoneを単になくしたのではなく、盗まれたのだと。どうしてそんなことになったのか、見当もつきませんでした。ずっとiPhoneを手に持っていたつもりでしたが、きっと無意識に2、3分の間、ポケットに入れたのでしょう。次にしたのは、警備員を探して、バーに詰めている警察官に事情を知らせることでした。そのとき、ひらめいたのです。そうだ、「iPhoneを探す」だ。このアプリで「紛失モード」を有効にして、なくなった端末を追跡すればいい。

パスコードでロックされているiPhoneを盗んでも、犯人が実際にできるのは、持ち主に身代金を要求するか、パーツを切り売りすることくらいです。iPhone端末そのものを転売するには、ロックを解除しなければなりません。私のiPhone Xでは、ロック解除に顔認証またはパスコードが必要でした。さらにiPhoneでは、ロックを解除しようとして数回失敗すると、以後1時間は解除の操作ができなくなります。その後さらに数回失敗すると、何もできなくなってしまいます。まるでシンデレラの馬車がカボチャに戻るように。Appleではそのようなセキュリティ対策を施しています。

紛失したか盗難に遭ったiPhoneを取り戻そうとするとき、「iPhoneを探す」アプリが役に立ちます。このアプリを利用すれば、端末をロックし、「紛失モード」を有効にして、「このiPhoneを紛失しました。見つけた方はこちらに電話してください。[電話番号]」のようなメッセージを設定することができるのです。それだけでなく、iPhoneの現在地を地図で確認することもできます(iPhoneの電源がオフになっていなければ)。

私たちはアプリを試してみました。ひょっとすると、犯人が身代金を要求してくるか、あるいは不注意にも電源をオンにしているかもしれない、と期待して。

心理トリックを用いたフィッシング

興味深い展開になったのはそれからです。1時間後、「紛失モード」にしたiPhoneのロック画面に表示した番号に宛てて、次のようなメッセージが送られてきました。

iCloud FMI通知:あなたのiPhone X 64GBスペースグレイは、2018年7月1日17時54分に発見され、SIMカード番号が確認されました。リンク先にアクセスしてiPhoneの位置情報をご確認ください。最新の位置情報および内蔵SIMカードの所有者に関する情報を確認できるのは、24時間以内です。Copyright 2018 Apple Inc.

メッセージの文面をよく見てみてください。どこかおかしいと感じるところはありますか?実は、いくつか妙なところがあります。まず、リンクのURLがApple公式のものではありません。また、企業から送ってくるSMSの文面には、著作権表示が入っていないのが普通です。それに、考えてみれば、Appleからであれば「iPhoneを探す」アプリに通知すればいいはず。わざわざテキストメッセージで送ってくるのは不自然です。つまり、これはフィッシングなのです。しかも、かなり巧妙に仕組まれたフィッシングです。相手は状況をよく心得ていました。被害者がなくなった端末を取り戻そうと必死になっていて、ストレスを感じ心理的に不安定になっている、まさにそのタイミングでメッセージを送っています。

実際、そのときの私がまさにそんな状態でした。確かに、私はKaspersky Labで働いていて、フィッシングの事例など日常的に見慣れています。最新のサイバー犯罪や詐欺の手口について、毎日のように執筆しています。でも、このときはパニック状態で、iPhoneを取り戻せるならどんなチャンスにでもすがりたい気持ちになっていて、自分のしていることをよく考える余裕がありませんでした。この悪意あるSMSがボーイフレンドのiPhoneに届いたとき(連絡先として彼の電話番号を指定していたので)、私たちは警察署にいました。被害届は提出済みで、警察が動き出そうとしているところでした。iPhoneの現在地を警察に知らせることができれば取り戻す可能性が高くなるだろう、そう考えました。

私は深く考えることもなくリンクをタップし、見慣れたiCloudの画面が表示されるとログイン名とパスワードを入力しました。1回目はパスワードが正しくないというメッセージが表示されました。もう1度試しましたが、結果は同じでした。パスワードはしっかり覚えていたので、2回間違うというのはあり得ません。

私は「iPhoneを探す」アプリを開き、アカウントにログインしてみました。問題なくログインできました。ところが…私のiPhoneは画面に表示されていません。地図からも、端末リストからも消えています。それから私は改めて先ほどのメッセージを読み返し、何が起きたのかを悟りました。

あのフィッシングSMSに誘導されて私は偽のiCloudサイトにアクセスし、ログイン情報を犯人に渡してしまったのです。その情報を手に入れた犯人は、すぐに私の端末で探知機能を無効にしたのでしょう。iCloudから、保存されていた情報をすべて削除することもできたでしょう(犯人にとってはiCloudのログイン名とパスワードさえわかればよく、それを私から入手できたのですから)。端末を初期化すれば、事実上まっさらな状態のiPhone Xとなり、新しいパスコードを設定して高額で転売できるようになります。

もちろん、すぐにiCloudパスワードを変更しましたが、手遅れでした。私はiPhoneを失い、取り戻すわずかな望みも失ったのです。Appleのサポートにも問い合わせましたが、紛失した端末を追跡できる手段は「iPhoneを探す」アプリのみであり、それが無効になっているのであれば取り戻せないだろうとのことでした。

どうすればよかったのか?

  • フィッシングメッセージのリンクをクリックしなかったならば、ログイン情報を入力しなかったならば、犯人のもくろみは成功しなかったでしょう。しかし、私の例でわかるように、絶対に騙されない保証はありません。あらゆるタイプの詐欺について知っているつもりだった自分が、まんまと餌に飛びついてしまいました。
  • フィッシングの罠にかかった後であっても、iCloudの2段階認証を使用していれば助かったでしょう。ログイン名とパスワードを犯人に渡してしまうことに変わりはありませんが、犯人はその情報を使用できなかったはずです。使用するには、元の持ち主の別の端末で認証コードを受け取る必要があるからです。
    教訓:2段階認証を使用できる場合は必ず設定しておくこと。