iPhoneだから大丈夫、とは限らない

2016年5月28日

よく知られているように、iPhoneユーザーは、他のプラットフォームを使っている人に対して根拠のない優越感を持っています。曰く、Androidは常にマルウェアやトロイの木馬の攻撃に晒されているけど、iOSは脅威とは無縁なのだとか。iPhoneは本当にAppleファンが思っているほど安全なのでしょうか?

そんなことはありません。今回は、iPhoneにとっても他のデバイスと同じくらい危険な攻撃を、いくつか紹介します。

iphone-vulnerable-featured

フィッシング

フィッシング攻撃の標的は「椅子とキーボードの間にあるもの」、つまりユーザー自身です。不注意な人や、そもそもセキュリティ問題を意識していない人がつけ込まれがちです。

フィッシング攻撃のことは誰でも知っているように思えるかもしれません。しかし、インターネットを使い始める人は日々膨大な数に上りますし、ネット初心者の中にはサイバー犯罪者がしかける罠に気づかない人もいます。一方のサイバー犯罪者も、ぼんやりしてはいません。毎日のように新しい手口を生み出しています。

訪問したWebサイトが偽物ではないか、と少しでも感じたら(オンラインバンキングページの見た目や言葉が何か違う、など)、危ない橋は渡らず、すぐにサイトのサポート窓口に連絡してください。念には念を。でないと、苦労して稼いだお金を取り戻すために、後で大変な思いをするかもしれません。

対策:

偽Webページの見分け方は、当ブログでご紹介しました。ぜひ一通り読んでみてください。フィッシングサイトを見分けるツール「Kaspersky Safe Browser for iOS」も、お役に立つかもしれません。

公共Wi-Fi

もう1つ、プラットフォームに関係なくデバイスを攻撃する手段として、Wi-Fiを使ったものがあります。今ではいろんな場所でインターネットを利用できるようになりましたが、公共ワイヤレスネットワークは現実の脅威になり得ます。

不審なWi-Fiスポットからネットに接続すると、パスワードを盗まれたり、個人情報が漏れたりするかもしれません。どんなスマートフォンを使っていても、気を緩めず注意を払いましょう。

対策:

それでも公共のWi-Fiスポットを使うのであれば、こちらの簡単なルールを守ってください。たとえば、保護されていないWi-Fiスポットは利用しない、安全なチャネル(HTTPS)を使う、iPhoneの設定でWi-Fiの自動接続を無効にする、などです。

ios-wifi-settings-JA

マルウェア

残念ながら、iPhoneがマルウェアのリスクとはほぼ無縁の時代は、終わりました。

マルウェアに狙われるのは、脱獄(ジェイルブレイク)したデバイス(利用できる機能を増やすためにシステムレベルのアクセスを可能にしたデバイス)である場合がほとんどです。スマートフォンを脱獄する理由でありがちなのは、海賊版アプリや違法アプリを実行するため、またはiOSに設定された特定の制限を無効にするため、などです。

このように、できることが増えるかわりに、セキュリティが低下するというマイナス面もありますが、それも当然です。Appleの開発者が立てた「柵」に「穴」をあけるのですから、怪しいものが忍び込んでも仕方ありません。

ですが、脱獄さえしなければ、iPhoneは絶対に安全というわけではありません。AppleのApp Storeはとても厳格に管理されていますが、悪意あるアプリがデバイスに侵入するのを防げないこともあります。ハッカーは別の手口を探して不正アクセスする可能性があるからです。

実際に、攻撃者が悪意あるXcode SDKを使って、何十ものサードパーティアプリを感染させた事例もあります。感染したSDKは、中国で大いに出回る形となりました。「グレートファイアウォール」の内側にいる人たちにとって、Appleの公式Webサイトから重いファイルをダウンロードするのは、あまりにも大変だったからです。

もう1つ例を紹介しましょう。まず犯罪者はユーザーをそそのかし、脱獄なしでApp Storeから無料アプリをダウンロードさせます。そして同時に、悪意あるアプリをインストールし、感染させたデバイスからApple IDを盗みました。

もちろん、他のプラットフォームの場合と同じように、iPhoneを狙うマルウェアでも、デジタル著作権侵害が頻繁に行われています。「完全無料」のものを利用しようと思ったときは、もう一度よく考えてみてください。

対策:

デバイスの脱獄はお勧めできません。ファームウェアに侵入された場合、サイバー犯罪者の標的になる可能性大です。一方、ソフトウェアアップデートは、すみやかにインストールしてください。公式のアップデートは、デバイスのセキュリティを強化するためのものです。

Apple IDの乗っ取り

Appleの世界では、Apple IDがないとどこにも行けません。このIDだけで、ユーザープロファイル、iCloudサービス、同社のオンラインマーケットプレイスにアクセスできます。Apple IDが頻繁に狙われるのも無理はありません。

Apple IDを乗っ取る手口は多岐にわたり、スマートフォンに悪意あるアプリをインストールする、フィッシングをしかける、iCloudなどのAppleサービスへアクセスするためのコンピューターに侵入する、などがあります。

Apple IDを犯罪者から守るには、2段階認証を利用しましょう。有効にしておくと、Appleサービスにアクセスしようとするたびに、信頼できるデバイスに送られてくるワンタイムパスワードの入力が必要になります。これで、流出したパスワードや盗まれたパスワードを使われる可能性が、かなり低下するはずです。

もう1つ大切なことですが、Apple IDを他の人と共有しないようにしましょう。仲のいい友達同士や家族の間では珍しいことではありませんが、アカウントを共有すると、不正利用される可能性が高くなってしまいます。友情とは尊いもの。でも、パスワードとアカウントは分けて使うべきです(英語記事)。

対策:

Apple IDの2段階認証を有効にしてください(まだ有効にしていない場合)。

最後に、iPhoneのセキュリティを万全にしたい人のために、いくつかヒントを紹介します。

  • 「iPhoneを探す」機能を有効にする:紛失したiPhoneや盗まれたiPhoneを発見できるかもしれません。戻ってこなかったとしても、iPhoneをロックしたり、個人情報を消去したりすることはできます。
  • ロック解除用に強力なパスワードを設定する:必ず数字、アルファベット、特殊文字を組み合わせたパスワードを作成してください。最近のiPhoneでは、Touch IDという指紋スキャナーでユーザー認証できます。