米国の半導体企業・ブロードコムのエリック・モレットさんが、すんでのところでApple Account(旧Apple ID)を乗っ取られ、詐欺被害に遭いそうになった。そして、その経験をブログで公開している。
モレットさんによると、経験した中でもっとも洗練された手口だという。なぜなら、乗っ取り手口の中に、Apple公式からの本物の通知が巧妙に織り交ぜられているからだ。事件を時系列に沿って解説するので、あなたも騙されないよう、注意しながら読んでいただきたい。
Appleデバイスのセキュリティ機能では、防ぎきれないフィッシング詐欺の被害
Appleデバイスはセキュリティが非常に堅固だ。しかし、だからといって安心はしていられない。近年はアカウント情報の流出や盗聴より、フィッシング詐欺が主流だからだ。
フィッシングサイトとは公式サイトそっくりにつくられた偽サイトのこと。そこにユーザ自らパスワードやクレジットカード情報を入力してしまうと、詐欺被害につながる。この「ユーザ自ら入力してしまう」という点がポイントだ。逆に言えば、ネット上でアカウント情報やカード情報を入力しなければいい。そうすればほとんどの詐欺から逃れられる。
サインインするときはパスキーを使う。決済するときはApple Payを使う。これで自ら重要情報を手入力することがなくなり、フィッシング詐欺の被害に遭うこともほぼなくなる。
ところが、モレットさんはもう少しのところでApple Accountを乗っ取られそうになった。その手口は非常に巧妙で、詳細を知らなければ多くの人が騙されるではないかと思う。
モレットさんは、その経験をMediumというブログサイトで共有してくれた。その詳細を解説していくので、手口を知り、あなたは騙されないように注意してほしい。
エリック・モレットさんが巻き込まれた、劇場型のフィッシング詐欺
モレットさんが書いたブログのタイトルは「I Almost Lost My Apple Account to the Most Sophisticated Phishing Attack I’ve Ever Seen」(私が知る中でもっとも洗練されたフィッシング攻撃で、もう少しでApple Accountを乗っ取られるところだった)。
注意したいのは、モレットさんはブロードコムのプロダクトマネージャーだということ。つまり、それ相応のリテラシーを持っているであろう人物なのだ。
以降、時系列に沿って詐欺の手口を解説していく。モレットさんの気持ちになって、どこでおかしいと気づけるかを考えながら読んでいただきたい。
午後3時17分/突然。第三者からのサインイン
突然、iMessageにサインインの認証コードを告げるメッセージが届く。同時にモレットさんのiPhone、iPad、Macにはサインインを告げるダイアログが表示された。もちろん、モレットさんはサインインなどしていない。
つまり、誰かにApple Accountのアカウント名とパスワードを把握されているということだ。しかも、その誰かがApple Accountへのサインインを試みている。
ただし、サインインには認証コードが必要で、それはモレットさんの登録済みデバイスにしか届かない。そのため、まだApple Accountへの侵入は防げている。しかし、非常に危険な状況にあることは間違いなかった。
午後3時18分/着信。Appleから届いた認証コード
Appleの自動システムから着信があり、音声で認証コードを告げられた。
2ファクタ認証では、最後に認証コードを入力しないとサインインが完了できない。その認証コードは、一般的には登録済みのデバイスのダイアログに表示される。しかし、SMSで送る方法、電話の音声で送る方法も選択可能だ。
サインイン画面で「デバイスにアクセスできない場合」を選ぶと、SMSや電話を選択できる。視覚に問題を抱える人に対する配慮でもあるが、Appleデバイスが手元にないがApple Accountにサインインしたい、という場合にも有用だ。ただし、SMSや電話は、あらかじめ登録した番号しか選べない。
午後3時21分/公式?Appleサポートからの電話
再び電話が鳴った。発信元は(404)926-3085。モレットさんはこのとき気がつかなかったが、これは米国・アトランタのレノックススクエアにあるApple Storeの代表電話番号だ。おそらく、発信者番号を偽造したのだろう。仮にこのApple Storeの番号を連絡先に登録していたら、iPhoneの画面に「Apple Store」と表示される。そうなったら、Apple公式からの電話だと信じ込んでしまいかねない。
電話に出てみると、相手はAppleのサポート担当だと言う。「あなたのアカウントは攻撃を受けています。この問題に対応するため、サポートチケットを開きました。別の者がすぐに連絡をいたします」という内容だった。
Appleはサポートを受け付けると、サポートチケットを付与して進行などを管理する。つまり、Appleが正式にサポートに乗り出したことを意味している。
午後3時31分①/警戒。Appleからの正式なサポートメール
同じくApple Storeの代表番号から電話がきた。サポートの担当者を名乗る相手は、「今は攻撃に対応している最中だ。あなたのApple Accountを保護するため、アカウントをリセットしてほしい。そして、正式なサポートだと証明するメールが届いているはずなので確認してほしい」と言う。
モレットさんが確認すると、Appleからサポート開始を示すメールが届いていた。
モレットさんは過去何回かAppleのサポートを受けており、同様のメールを受け取った経験がある。今回のメールも、送信者が「AppleSupport@email.apple.com」であり、Appleからの正式なメールであると思えた。あとでわかることだが、これはまさしくAppleからのメールだったのだ。
モレットさんは、ここで電話の向こうの担当者を信頼した。しかし、それでも警戒は怠らなかった。リセットの過程で、新しいパスワードや認証コードを聞かれるのでは、と考えたからだ。もし相手がそのような要望をしてきたら、電話を切ってしまえばいい。いずれにせよ、Apple Accountのリセットでトラブルは避けられると考えた。
手順に従ってApple Accountをリセットし、パスワードを変更。その間、担当者はパスワードや認証コードを聞き出すようなそぶりはなかった。
午後3時31分②/終結? サポートのクローズ作業へ
これで安心したモレットさんに、担当者はこう言った。
「これでもう攻撃を受けることはありません。最後にサポートケースをクローズしていただく必要があります」。
案内されたのは、iMessageで送るリンクから手続きするというものだった。
iMessageに届いたリンクにアクセスすると、Appleのページが現れた。そのページで新しいパスワードを入力。続いて、iMessageに送られてきた認証コードを入力。そうしてサポートケースのクローズ作業を終えた。
これで、すべては終了し、もうトラブルに悩まされることはないはずだった。
午後3時47分/恐怖。知らないMac miniからのサインイン
しかしその後、モレットさんの背筋を凍りつかせるメールがAppleから送られてきた。まったく知らないMac miniが、Apple Accountにサインインしたことを告げるものだった。
なぜ、さっき変えたばかりのパスワードがすでに漏れているのか。モレットさんは驚き、もう一度Apple Accountをリセット。パスワードも再度変更した。これでモレットさんは難を逃れることができた。知らないMac miniからサインインされた状態で放置していたとしたら…。パスワード変更で締め出されたり、Apple Payで買い物されたりしたことだろう。
「Appleからの本物のメール」を織り交ぜた巧妙な詐欺の手口
巧妙なのは、本物のAppleからのメールを織り交ぜた手口だ。本物のメールがあるので信用してしまい、フィッシングページに気づきづらくなる。
まず、3時17分の認証コードのメッセージやダイアログは本物だ。モレットさんのアカウント名とパスワードを知った第三者がサインインを試みたことで、送信された。ただし、認証コードはあらかじめ登録されたデバイスにしか送信されない。また、この認証コードが伝わらなければ第三者はサインインできない。そのため慌てる必要はないのだが、多くの人は「何が起きている⁉︎」と不安になってしまうだろう。
そして、3時18分のAppleの担当者からの電話は、発信者番号を偽装した偽物だ。しかし、同タイミングで届いたサポート開始の旨が記載されたメールは本物だ。Appleは、サインインしてからサポートを受けることを推奨している。しかし、実はサインインしなくてもサポートを受けられる仕組みが用意されている。たとえば、「Apple Accountにサインインできない」というトラブルに対応するためだ。
犯人はモレットさんのアカウント名を使い、本物のAppleのサポートを受けた。そのため、モレットさんにAppleから本物のサポートメールが届いたわけだ。
宅配サービスや銀行が実施する、フィッシング詐欺への対策
偽物だったのは、午後3時31分に届いた「サポートチケットをクローズしてほしい」と送られてきたリンクだ。これがフィッシングサイトへの入り口になっていた。見た目はAppleのページそっくり。だがモレットさんがあとで調べたところ、ドメイン名が「alelle-apple.com」となっていた。これは正式なAppleのサブドメインではない。
そのフィッシングサイトで、アカウント名、パスワード、認証コードを入力してしまった。犯人たちはそれらを使い、Mac miniからモレットさんのApple Accountにサインインしたわけだ。
最後の最後でうかつだった。しかし、本物のメールを織り交ぜた手口により、警戒心が薄れたのもうなずける。言ってみれば、正規のプレイガイドで偽造チケットが販売されていたような話だ。
このような巧妙なフィッシング詐欺は、ユーザが気をつけるだけでは防ぎきれない。サービス提供側の協力も必要だ。
たとえば、ヤマト運輸、佐川急便、日本郵便などの宅配サービスでは、届け先への連絡にSMSを使うことをやめている。利用されているのは、専用アプリ、あるいはLINEの公式アカウントだ。つまり、「持ち帰りました」といったSMSが届いた時点で詐欺ということだ。また一部の銀行は、SMSでの連絡時はWebリンクを非掲載としている。
Appleからの電話=詐欺? 疑わしいと思ったときに取るべき行動
Appleは以前、サポートページで「Appleから直接電話をすることはありません」と記載していた。唯一の例外は、ユーザからサポートに電話し、折り返しをもらうときだけだ。
しかし、現在のサポートページにはその文言がなくなっていた。表現が「AppleやAppleサポートを名乗る相手から身に覚えのない電話がかかってきた場合は、電話を切ってください」に変わっている。
おそらく、「電話サポートの予約」という仕組みができたからだろう。予約しておくと、指定時刻にAppleから電話がきてサポートを受けられる。そのため、「身に覚えのない電話が」と表現が改められたのだと思われる。
いずれにしろ、予告なくAppleから電話がきた場合は詐欺の可能性が高い。このほかAppleは、疑わしいメール、FaceTime通話、SMSなどについて、そのスクリーンショットなどを撮って通報する専用のメールアドレスを用意している。
これは個別のトラブルを解決するものではない。しかし、Appleが情報を整理して対処してくれるため、ユーザ全体のリスク軽減につながるだろう。
Appleのサポートページ「フィッシングメッセージ、偽のサポート電話、その他の詐欺を含むソーシャルエンジニアリングスキームを認識し、対処する」を、ぜひ一度お読みいただきたい。
おすすめの記事
著者プロフィール
牧野武文
フリーライター/ITジャーナリスト。ITビジネスやテクノロジーについて、消費者や生活者の視点からやさしく解説することに定評がある。IT関連書を中心に「玩具」「ゲーム」「文学」など、さまざまなジャンルの書籍を幅広く執筆。
![アプリ完成間近! 歩数連動・誕生日メッセージ・タイマー機能など“こだわり”を凝縮/松澤ネキがアプリ開発に挑戦![仕上げ編]【Claris FileMaker 選手権 2025】](https://macfan.book.mynavi.jp/wp-content/uploads/2025/10/IMG_1097-256x192.jpg)