他人のApple IDを自分のiPhoneに入力してはいけない理由

2018年12月26日

Appleのデバイスを利用する人は、Apple IDを持っています。Apple IDは、Apple王国を旅するのに必要な、デジタル形式のパスポートのようなもの。Apple IDを提示して入国すると、一定の権利が与えられるのです。そんなわけで、Apple IDはパスポートと同じように扱わなければなりません。誰かに貸したり、他人のものを借りたりするのはご法度です。

前者については明白です。Apple IDを誰かに渡してしまったら、自分のデバイスにも、データにも、さまざまなサービスにも、アクセスできなくなります。でも、他人のApple IDを自分のiPhoneやiPadに入力してはいけない、と言われてもピンとこない人が多いのではないでしょうか。そこで、マーシーが遭遇した出来事から考えてみましょう。

iPhoneを売ろうとしたら

1年間使ってきたiPhone Xを、マーシーは売ることにしました。XSか、せめてXRにアップグレードしようと思ったのです。最初に考えたのはeBayで売ることで、Craigslist(求人や広告を掲載できる米国のコミュニティサイト)にも広告を出すことにしました。

次は、値付けをどうするかでした。状態は良好だったので、売値を高く設定することにました。そのために1年間、きれいに使ってきたのですから。傷1つありません。買ってくれる人が見つかるまで時間がかかるかもしれませんが、特に急いではいませんでした。

驚いたことに、次の日に購入希望者が現れました。礼儀正しい女性がメッセージを送ってきたのです。夫がiPhoneを買いたがっているが、今非常に忙しいので週末まで引き取りに行けない。しかし夫はあなたのiPhoneの状態が良いのを見てとても気に入り、前金で支払って後から受け取りたいと言っている。iPhoneが本当に何の問題もないかを確認するために、夫のApple IDをあなたのiPhoneに入力してくれないだろうか。問題がなければすぐに送金する。…こんな内容でした。

マーシーはご機嫌でした。何週間かかかると思っていたのに、24時間で話がまとまるなんて!女性は夫のApple IDであるメールアドレスと、パスワードを送ってきました。こんな大事なデータを赤の他人に教えるなんて、世の中には不注意な人がいるものだなあとマーシーは思いましたが、そこは向こうの問題なので、受け取った情報をiPhoneに入力し、確認してもらう準備ができたことを女性に連絡しました。

すると、まったく予期しなかったことが起きました。iPhoneの画面に「このデバイスはブロックされました、ブロックを解除するにはかくかくしかじかのメールアドレスに連絡してください」というメッセージが現われたのです。不愉快なメッセージが表示された真っ黒な画面は、どうやっても元に戻りません。iPhoneは、ブロックされてしまったのです。

あの「礼儀正しい女性」(要は、偽アカウントだったのです)は、もうマーシーのメッセージに返信しなくなっていました。マーシーはiPhoneの画面に表示されたメールアドレスに連絡しましたが、返ってきたのは、ロックを解除するには相当な金額を仮想通貨で支払う必要がある、という内容のメッセージだけでした。

気を取り直そうと努めながら、マーシーは考えました。もう一度だまされる可能性がないとは言えない。彼女の動揺とは裏腹に、iPhoneは何の役にも立たない塊になってひっそりとテーブルの上に乗っています。言われた金額を支払うべきかどうか分からないまま、マーシーはあっさりとだまされた自分に腹を立てていました。

Apple IDの入力を依頼してくる人には警戒を

他人のApple IDをあなたのAppleデバイスに入力すると、その瞬間から、デバイスの所有権は実質的にあなたの手を離れます。相手がサイバー犯罪者だったなら大ごとです。iCloudの「iPhoneを探す」機能を使って、デバイスがロックされてしまいます。

「iPhoneを探す」機能は、iPhoneを紛失したときに、それを拾った第三者が中を自由に見ることができないようにするためのものです。iPhoneの画面には持ち主の連絡先が表示され、拾った人が持ち主に連絡を取って返してあげられるようになっています。同様の機能である「iPadを探す」の場合も同じです。

マーシーの場合、デバイスを紛失したわけではありませんでした。しかし、他人のApple IDを自分のiPhoneに入力すると、そのIDの持ち主のiCloudにある関連デバイスリストに、あなたのiPhoneが追加されます。これで、そのIDの持ち主は、あなたのiPhoneを自由に操作できるようになります。便利なはずの機能は、こうやって不正に利用される可能性があるのです。サイバー犯罪者は、iPhoneやiPadをロックしてお金を要求するかもしれません。

このように、中古デバイスを売るときには十分注意しなければなりませんが、手口はこれだけではありません。たとえば、Apple関連のフォーラムで参加者と親しくなり、いろいろな口実をつけて自分のApple IDを入力させようとするのは、詐欺師の間でよく使われるソーシャルエンジニアリングのテクニックです。「俺のiPhoneが死んだ。上司に今すぐ電話しなきゃいけない、連絡先はiCloudにあるんだ、助けて」などなど。

しかし、サイバー犯罪者のApple IDであるメールアドレスとパスワードが分かっているのであれば、WebバージョンのiCloudにログインして何とかできるのでは?いいえ、できません。サイバー犯罪者のアカウントは2段階認証で保護されているので、彼らの持っているデバイスのどれかに送信された確認コードがないと、iCloudにログインできないのです。当然、そういったデバイスにアクセスできるのはサイバー犯罪者本人だけですから、Apple IDを知っているだけではどうにもなりません。

教訓:他人のApple IDを自分のデバイスに入力しないこと。どんなにお願いされたとしても。