驚くべき盗難の手口
大晦日となりました。
今年最後のブログは趣向を変えて、iPhoneの盗難手口に関するものとします。
アップルの盗難対策は万全と思っている方も多いと思います。
筆者もその一人でしたが、どうも我々の信頼は根拠に乏しいものの様です。
米国で起きた手の込んだアイフォーン盗難事件についてオールストリートジャーナル(WSJ)が記事に纏めました。
「He Stole Hundreds of iPhones and Looted People’s Life Savings. He Told Us How.」(何百ものiPhoneを盗難した犯人がその手口を語る)と題した記事では驚くべき事実が語られています。
かいつまんでご紹介したいと思います。
WSJ記事要約
ミネソタ州の矯正施設に収監された26歳のアーロン・ジョンソンは今後数年間を過ごすことになる刑務所内で行われたインタビューでその手口を語りました。
ジョンソン氏は仲間とともに、2021年から少なくとも1年間ミネアポリスで盗みを働きました。
夜のバーなどで若者と友達になり、こっそりパスコードを聞き出して携帯電話を盗みました。
そのコードを使用して、被害者の銀行アプリから数千ドルを略奪した上で、携帯電話そのものを販売しました。
これは、Apple のエコシステムを悪用した、手の込んだ盗難でした。
先週、Apple は、パスコードを利用した犯罪から使用者を保護する盗難デバイス対策を発表しました。
しかし、このソフトウェアをインストールした場合でも、抜け穴が存在します。
最大の抜け穴? それは私たち自身です。
ジョンソン氏がどのように行動したかを学ぶことで、私たちの生活を支えているデバイスをより適切に保護する方法を学ぶことができます。
ジョンソン氏はプロのサイバー犯罪者ではありません。
彼はホームレスで 仕事が見つからず、盗みを始めたと語りました。
すぐに、彼は、自分が盗んだ携帯電話の内部に進入できれば、もっと価値があることに気づきました。
ある夜遅くまで電話をいじっていて、パスコードを使って多くの保護されたサービスのロックを解除する方法を見つけたのです。
「パスコードは悪魔だ」と彼は言いました。
ミネアポリス警察の逮捕状によると、ジョンソン氏と仲間たちはは30万ドル近くを蓄えたとされていますが、 彼によれば、それ以上だった様です。
ジョンソン氏は3月、強盗94か月の実刑判決を受けましたが、彼の手口は次の通りです。
先ずターゲットを特定します。
薄暗くて混雑しているバーは、理想的な環境であり、男子学生が主なターゲットとなりました。
「彼らはかなり酔っていて、実際に何が起こっているのか分かっていなかった」とジョンソン氏は語りました。
同氏によれば、女性は警戒心が強く、不審な行動を警戒する傾向があるといいます。
パスコードの取得のやり方ですが、フレンドリーでエネルギーに溢れたジョンソン氏は自分がラッパーであることを告げ、メッセージアプリの「スナップチャット」で友達になりたいと告げた様です。
彼らはジョンソンに電話を渡し、ジョンソンが自分の情報を入力してすぐに返すだろうと考えました。
ジョンソンは「おい、ロックされてるぞ。パスコードは何だ?」と尋ねます。
大抵の相手はすぐにパスワードを教えます。
場合によっては、彼は人々がパスコードを入力する様子を見て覚えました。
電話を手にすると、彼はそれを持って立ち去るか、仲間の誰かに渡しました。
iPhone を盗んでから数分以内に、ジョンソン氏は [設定] メニューで Apple ID のパスワードを変更しました。
次に、新しいパスワードを使用して「iPhone を探す」をオフにし、被害者が盗難されたデバイスを遠隔から見つけたり、さらには消去したりすることを不可能にしました。
ジョンソン氏は、パスコードを利用して自分の顔をFace IDに登録しました。
生体認証により、ジョンソン氏は iCloud キーチェーンに保存されたパスワードに簡単にアクセスできるようになりました。
貯金、小切手、暗号通貨アプリなどに彼はアクセスが可能となりました。
翌朝までに、彼は金を別の口座に送金しました。
更にApple Pay を使って買い物をしました。
Apple は最近新しい盗難デバイス保護対策を発表しました。
セキュリティ設定はジョンソンの手口のほとんどを無効にする可能性がありますが、自動的にオンになるわけではありません。
これをオンにしないと、これまでと同様に脆弱になります。
スイッチをオンにすると、自宅や職場などの使い慣れた場所から離れたときに携帯電話に防御線が追加されます。
今回の変更によりApple ID パスワードを変更するには、 Face ID または Touch ID の生体認証が必要となりました。
パスコードだけでは機能しません。
しかしまだ抜け道は残っています。
パスコードを入手した窃盗犯はApple Pay で物を購入できる可能性があります。
また、メール、Venmo、PayPal など、追加のパスワードや PIN で保護されていないアプリも脆弱です。
最も重要なのは、ジョンソン氏のアドバイスです。「周囲に注意し、パスコードを他人に教えないでください。」
この犯罪が私たちに何かを教えてくれたとすれば、それは、たった一つのデバイスが私たちの資産など私たちの生活全体へのアクセスを握っているという事です。
それを守るのは私たち自身の責任です。
複雑化するセキュリティーシステム
ジョンソン氏の手口はパスコードがあればAppleIDの変更が可能になるというシステムのアキレス腱を狙ったものでした。
メッセージアプリで友達になるふりをしてパスコードを盗む手口も良く考えられていると感心させられます。
スマホは今や必需品で、金融からヘルスケアまで全てのサービスがスマホで完結できる存在となっています。
それだけに気をつけなければいけませんね。
しかし、利便性と安全性はトレードオフの関係にあり、セキュリティー対策はどんどん複雑になるばかりです。
自分も含めて膨大なパスワードと複雑なセキュリティー対策を覚えきれなくなるのではと不安になります。
来年も騙されない様に頑張りましょう。良い年をお迎え下さい。
最後まで読んで頂き有り難うございました。