中1の息子に与えているiPhoneですが、少し前に、iCloudアカウントの乗っ取りに遭いました。画面割れからの買い替えに続き、色々やってくれます。
スマホを本格的に使い始めると色んなリスクに遭遇しますが、こわい話なんで注意喚起のために残しておきます。
気付いたときの状況
設定画面の一番上、アカウントのところに「Apple ID設定をアップデート①」という表示が出ていて、サインインし直す必要があるとのことでiCloudログインを試すのですが、パスワードが違うということでログインできない状態になっていました。
親アカウントのパスワードマネージャー(キーチェーン)にも息子のパスワードは保存してあるので、そちらでログインを試みるもNGでした。
次にパスワードリセットを試しますが、「信頼できる電話番号」が合わずリセットできません。これができないと自力で回復することができず、アカウントへアクセスする手段がない状態になります。
ちなみにこのとき表示される下2ケタの番号が息子の電話番号と異なっており、家族の誰の番号とも合わないので、ようやくここで乗っ取りにあったのではということに気付きます。
応急処置
とりあえずAppleサポートに連絡しアカウント停止・復旧を依頼したいのですが、ググるとこの手のものはApple Store店舗ではなくオンラインのみで対応のようで、しかも時間予約が必要なようなので、まずは電話予約だけして、その間に他のリスク回避作業に移ります。
Appleサポートページの記載
https://support.apple.com/ja-jp/HT204145
乗っ取りの場合に思いつくリスクは次の通りです。
- クレジットカード情報が抜き取られ不正利用される
- パスワードマネージャーからパスワードが抜かれ、買い物等に利用される・SNSなどのなりすましにあう
- iTunesギフトカード残高が不正利用される
- 個人情報が流出する
ヤバい順に上から調査していきます。
リスク1:クレジットカード情報
まずクレジットカードについては、幸いなことに子供アカウントにはクレジットカード情報は入っていないため、直接使用されたりカード番号が流出することはありませんでした。Appleの子供アカウントはクレジットカード紐付けできない仕組みになっていて助かりましたが、13歳以上だと大人と同じ扱いになりカード登録もできるようになるっぽいのでここは注意が必要そうです。
念のためクレジットカード履歴を確認しますが、不正利用の形跡はなさそうなので一旦ここは大丈夫そうでした。ただし少しでもヤバい動きがあれば速攻でカードを止める必要があります。
リスク2:パスワードマネージャー
結果論から言うとここが一番リスクが高そうです。試していないので確かではありませんが、二段階認証の携帯番号も変更されているのでおそらくなりすましてパスワードを抜き出すことはできる気がします。
ユーザー名とパスワードをキーチェーンに保存してあり、二段階認証を設定していないショッピングサイトがあった場合、ここでログイン情報を抜き取られてしまうとアウトです。そのサイトで自由に買い物ができてしまうだけでなく、クレジットカード情報も抜かれたりするとさらにやばいです。
我が家の場合、Kindleログイン用のAmazonアカウント(親共通)が保存されていました。これはヤバいやつですが、幸い二段階認証が設定されていたので不正ログインはなく守られていました。
ショッピングサイトは他にはなく、あとは学習サイトです。こちらはログインできてしまったのですが、支払いはApp Store経由だったりするので支払い情報はなく、特に不正に契約が追加されている形跡もなさそうでした。
今回は、パスワードの使い回しもしておらず(子供用のどうでもいいサービスを除き)これ以外でお金がらみのサイトはなさそうなので、一旦安心しました。
リスク3:iTunesギフト券残高
こちらは残高分のみと上限が決まっているのでそれほどリスクは高くないですが、とりあえず元々0円だったことだけ確認しました。
リスク4:個人情報の流出
直接的な金銭リスクはなさそうで一旦落ち着きましたが、この先のリスクとして考えられるのはこちらです。しばらく気にしていく必要はありそうです。
という感じで、とりあえずそれぞれパスワード変更だけはして緊急対応は終了、あとはAppleサポート時間を待ちます。直接的な金銭被害はなさそうで一旦は安心しました。
iCloudアカウントの停止・再開
予約した時間に、アップルサポートから電話がかかってきました。
何だかんだで1時間も電話してしまいましたが、ポイントだけ書きます。
1 不正使用のケースではアカウント復旧はできない
こういうケースでは、リスク排除のためアカウント復旧はできず、アカウントを利用不可にするだけになるとのことでした。今回のアカウントは捨てて改めて新しいアカウントを作成する必要があるとのことです。
メールアドレスも使えなくなるので、他のサービスで登録したものも全て変更する必要があります。この先に書くことも含めてかなり手間ですが、まあ仕方ないです。
2 iPhone端末のアカウントロックを解除する必要がある
iPhone端末とiCloudアカウントは1対1で紐付けられているので、iPhone端末で別のアカウントを使う場合はアカウントロック解除をしないといけません。通常は「設定」から自分で行うことができますが、今回アカウント停止状態にした(そもそもログインもできていない状態ですが)ので自分で行うことができません。
そのため、アップル側で手動で解除してもらうために上記サイトから申請することが必要となりました。さらに、フォーム申請からロック解除まで最長1ヶ月かかるとの話です。(結局1週間程度でした)
一応その間もiPhone自体の使用はできますが、アップルのオンラインサービス(メールやパスワード管理、バックアップなど)とは繋がっていない状態になります。
3 必要なデータのバックアップを手作業で行う必要がある
今回の話で一番作業量が大きいのがこれでした。iPhoneは端末を買い替えたときも前の端末の情報を簡単に移行できますよね。これは、アプリやデータを端末ではなくiCloudアカウントに紐付けているおかげです。
ただこれは裏を返すと、iCloudアカウントを変えるとデータがついてこないということを意味します。アプリやデータは停止した旧アカウントに紐付いてしまうため、新規にiCloudアカウントを発行するということは自分のデータは全てなくなり、真っさらなアカウントになるということを意味します。
ここで言うデータとは、アドレス帳やiMessageの履歴、写真、ゲームデータなどを指します。GoogleやAmazon(Kindle)、Lineなど、Apple外でデータを保管しているサービスに関しては移行するだけで大丈夫ですが、写真データのようなものは手動で救う必要があり、これがかなり面倒くさい作業になりました。(AirDropも使えなかったのでかなり大変でした)
4 ロック解除後、新規発行したiCloudアカウントで再設定
アップルからのロック解除連絡後、iPhoneがリセット可能になるのでリセットして、iCloudアカウント作成からやりなおします。アプリのインストールやデータ移行など、ほぼ全てが手動作業になります。
原因調査
さて、そもそもなぜ乗っ取りが起きたのかというところのお話です。
パスワードマネージャーを見ていくと、見たことのない、明らかに怪しいアドレスがあります。
duckdns.org
ググると一発目にこんな結果が。
「詐欺サイトでよく見る duckdns.org はどんなドメインなの ..」
しかもパスワードマネージャーを確認すると、このアドレスに対してiCloudのユーザー名とパスワードが保存されています。
はい、アウト。
どうやらメッセージをクリックして、アップルを装った偽装サイトにパスワードを入力したっぽいです。おそらく誘導されるまま、二段階認証コードも入れてしまったんだと思います。典型的なフィッシング詐欺です。
さすがに昔よくあった出会い系みたいな明らかにあやしいメールは無視しているようですが、今回はそれっぽい文言だったので引っかかったようです。
対応策
今回、金銭的な被害はなさそうというのは救いでしたが、割とギリギリのところかなと思います。
子供は痛い目をみて学んでいくという側面はあると思うので、見方を変えればこの程度で良かったのかもしれません。ただ改めて感じるのは、スマホを持って世界とつながるというのはいきなり大人の世界に放り出されることと同義なので、我々の子供時代のオモチャとはリスクの大きさが全然違うんだということでした。下手をすれば家庭の財産を失ったり、人生を棒に振るような事件に巻き込まれる可能性もあるわけで、大人の側がきちんと認識をして、対策を打ち、教育することが必要だと感じました。
思いつくところで、大人の側で最低限やることは次の3つでしょう。
- 大人と子供のアカウントの切り分けをきちんとすること
(子供が使うアカウントにはカード情報を入れない、親のパスワードも入れない等) - 二段階認証は必ず設定する
- パスワードの使い回しはしない
どれもリスク対策として当たり前に言われていることですが、自分が巻き込まれるまでは割と甘かったです。
最後のパスワード使い回しについては、実は最近まで私もやっていました。最近別件ですがちょっとした流出事故に巻き込まれたのでまさに対策をしていたところでした。ちなみにこのパスワード使い回し、どこかでひとつ流出すると芋ヅル式に色んなサイトでなりすましができることになってしまいリスクが高いので、即刻やめた方がいいです。
ただ、パスワードの使い回しをやめるにはパスワード管理ツールが必要で、今回のようにそこが流出してしまうと元も子もないということでもあります。
ということで子供に対する対策は次の感じです。
- フィッシング詐欺の典型的な手口など、ネット上で巻き込まれる可能性のある事象を具体的に理解させること(そのためには親も理解が必要)
- サイトを訪れる際は常に疑う姿勢を持ち、アドレスの確認も必ずすること
いずれにしてもポイントは、
- 何が起こるかをきちんと理解して親子で共有しておく
- 最悪、子供アカウントが流出しても被害を受けないようにしておく
というところかと思います。
我が家のケースをひとつの事例として、参考にしてもらえればと思います。
コメント