「Apple IDがロックされます」の偽メールにご注意!

 「Apple IDがロックされます」というAppleをかたった詐欺メールが出回っている。iPhoneなどで使うApple IDを盗み取ろうとするフィッシング詐欺だ。重要な個人情報も盗み取られる可能性があるので注意したい。(ITジャーナリスト・三上洋)

Appleかたったフィッシング詐欺メール

  • Appleをかたるフィッシング詐欺メール。ID・パスワード・クレジットカード情報などの詐取が目的か(フィッシング対策協議会による)
    Appleをかたるフィッシング詐欺メール。ID・パスワード・クレジットカード情報などの詐取が目的か(フィッシング対策協議会による)
  • 詐欺メールや偽SMSが後をたたない(写真はイメージです)
    詐欺メールや偽SMSが後をたたない(写真はイメージです)

 フィッシング対策協議会が、Appleをかたった偽メールが出回っているとして注意を呼びかけている(Appleをかたるフィッシング 2016/08/04:フィッシング対策協議会)

 「あなたのApple IDがロックされます」という件名で、本文は「あなたのアカウント情報の一部が誤っている」「下のリンクをクリックしてアカウント情報を確認してください」として偽サイトに誘導するものだ。

 「24時間以内にあなたからの応答を受信しない場合、アカウントがロックされます」などと脅し、ID・パスワードを盗み取ろうとするフィッシング詐欺(偽サイトに誘導してパスワードを盗み取ろうとする詐欺)だ。パスワードだけでなくクレジットカード情報を入力させる画面も出すようだ。

 メールの日本語はたどたどしいが、誘導先の偽サイトはスマートにできている。「Apple IDはアップルが提供するほかのサービスでもご利用いただけます」など本物と同じ文面があり、デザインも洗練されている。これでは(だま)されてしまう人がいるかもしれない。フィッシング対策協議会によれば、この偽サイトは8月4日12時の時点で動いているとのことで注意が必要だ。

  • 誘導されるAppleの偽サイト。本物によく似ている(フィッシング対策協議会による)
    誘導されるAppleの偽サイト。本物によく似ている(フィッシング対策協議会による)

 フィッシング詐欺に詳しいSo-netセキュリティ通信(プロバイダーSo-netのセキュリティー注意サイト)によれば、「アップルのフィッシングは、連日大量に行われている。(中略)7月は、前掲のフィッシングメールで誘導する日本人向け偽サイトがリニューアルされ、より本物らしくなったので注意したい」とのことだ(7月の国内フィッシング事情――ライフカード、アマゾン、グーグル、アップル、各社のメールアカウント[フィッシング])

 同様の被害はツイッターでも報告がある。「お使いのApple IDがロックされます」「私たちはあなたのApple ID情報の一部が欠落しているか、誤っていることをお知らせしたいと思います」などの文面になっている。「マイアカウント確認」というリンクで詐欺サイトに飛ばすものなので、クリックしないように注意したい。

データを丸ごと見られる恐れ、SMS詐欺も

 Apple IDはネットで使うパスワードの中でも、もっとも重要度が高い。iPhoneやMacでの音楽購入・アプリ購入で使うためクレジットカード不正利用の可能性があるほか、iPhoneの全データが盗み取られることも考えられる。

 Appleのクラウドサービス・iCloudでは、iPhoneのバックアップをネット上に保存できる。この「iCloudバックアップ」を使っていて、Apple IDで不正ログインされてしまうと、iPhoneの写真・アドレス帳・メールなどの内容が見られてしまうことになる。今年1月に長澤まさみさんら芸能人のiCloud不正ログイン事件が起きているが、その時もApple IDのパスワードを推測されたことで、iPhoneで撮影した写真を盗み取られてしまっていた(長澤まさみさんら被害…iCloud不正ログインの手口と対策:サイバー護身術)。

  • 電話番号あてのSMSで送られてくるAppleの偽メッセージ(マカフィーによる)
    電話番号あてのSMSで送られてくるAppleの偽メッセージ(マカフィーによる)
  • 誘導される偽サイトの表記。「スパム指定を解除して」と赤字で書いている
    誘導される偽サイトの表記。「スパム指定を解除して」と赤字で書いている

 今回の偽サイトの目的は、パスワードやクレジットカードの詐取による金(もう)けだと思われるが、iPhoneのデータから個人情報の盗み出し(アドレス帳・パスワード一覧ファイルなど)も考えられるので警戒したい。

 これとは別にSMSを使ったAppleの詐欺メッセージもみつかっている。SMSとは電話番号あてに送るショートメッセージで、メールと同様に詐欺にも悪用されている。

 セキュリティー大手・マカフィーによると、電話番号あてのSMSを使い、Appleをかたる英語の詐欺メッセージが出回っている(Appleアカウントを狙うSMSフィッシング詐欺にご注意を:マカフィーブログ)

メールやSMSのリンクをクリックしない

 このSMSには短縮URLが書かれており、クリックすると偽サイトへジャンプする。「Appleアカウントが一時的に停止されているため、Apple社のサイトへ行き、“安全”にアカウント情報の再認証を行ってください」と表示されるとのことだ。

 このSMSは7月22日と27日に送信されており、それぞれ約6000回・約1700回のクリックがあった(短縮URLの統計によるデータ)。主にアメリカが狙われているようだが、日本語化されて日本を狙ってくることも考えられるので注意したい。

 偽サイトへ誘導するフィッシング詐欺は、常に行われている。Appleだけでなく、AmazonやGoogle、銀行やクレジットカード会社、宅配便などを装うものがあるので注意してほしい。フィッシング詐欺への対策をまとめる。

●偽メール・偽サイトなどフィッシング詐欺対策

  • 正規のAppleサイトでのブラウザーURLバー表示(Chromeの場合)。緑色で鍵マークが付いている
    正規のAppleサイトでのブラウザーURLバー表示(Chromeの場合)。緑色で鍵マークが付いている

・メールとSMSのリンクを信用しない・クリックしない

 メールやSMSに書かれたリンクは原則としてクリックしない。信用できる相手で、かつ事前に送られてくるとわかっているリンクだけを信用し、他は無視すること。

・IDとパスワードを入力する前に、サイトが本物かチェックする

 ブラウザーのURL表示欄に鍵マークがあって、会社名が表示されているものが本物。Appleの場合は画像のように緑色の鍵マークで「Apple Inc.」と書かれている。これ以外は偽物なので閉じた上でセキュリティー対策ソフトでウイルスチェックを。

・パスワードは一つ一つ別のものを

 パスワードは使い回ししない。同じものを使い回ししていると、1件の情報漏れから他のサイトも不正ログインされてしまう可能性があるからだ。手間はかかるが、一つずつパスワードを異なるものにしよう。

 パスワード管理については、以下の記事に実践的な方法をまとめているので参考にしてほしい。

●参考記事

・長澤まさみさんら被害…iCloud不正ログインの手口と対策:サイバー護身術

・フィッシング件数は減少も手口は巧妙かつ複雑に:サイバー護身術

・Appleをかたるフィッシング 2016/08/04:フィッシング対策協議会

2016年08月05日 16時04分 Copyright © The Yomiuri Shimbun
プロフィル
三上洋   (みかみ・よう
 セキュリティ、ネット活用、スマートフォンが専門のITジャーナリスト。最先端のIT事情をわかりやすく解き明かす筆力には定評がある。テレビ、週刊誌などで、ネット事件やケータイ関連の事件についての解説やコメントを求められることも多い