Appleは、不審なFaceTime通話やメッセージ、特に支払い・返金・パスワードリセット・個人情報の要求に関わるものについては信用しないよう、ユーザーに呼びかけています。
この警告は、iPhoneおよびiPadユーザーを標的とするソーシャルエンジニアリング詐欺に関するAppleの広範なサポート記事の中で述べられているものです。Appleによると、攻撃者は信頼できる組織を装い、電話・FaceTime・テキストメッセージ・電子メールなどを通じて連絡してくる場合があるとしています。
この注意喚起がなされた背景には、多くのユーザーがセキュリティアップデートのインストールを先延ばしにし、Appleがセキュリティパッチをリリースした後もなお脆弱な状態にとどまっているという実情があります。
ここ数カ月の間、私たちはある見覚えのあるパターンを目にしてきました。攻撃者はApple名を騙る巧妙なソーシャルエンジニアリングと既知のiOS脆弱性を組み合わせ、「パッチが公開されてから実際にインストールされるまでの隙間」を突いて利益を得ているのです。
犯罪者たちは、「Appleサポート」や銀行を装った未承諾のFaceTime通話をかけたり、緊急のアカウント警告や返金案内を装ったメッセージを送りつけたりしていると報告されています。被害者が電話に出たり返信したりすると、その後の手口はほぼ決まったパターンをたどります。
- 電話をかけてきた相手が、不正利用や技術的な問題が発生していると主張します。
- カード情報、オンラインバンキングの認証情報、あるいはApple IDの情報を「確認」するよう、ユーザーに圧力をかけます。
- 場合によっては、リモートアクセスソフトウェアのインストールやワンタイムパスコードの共有を促すこともあります。
この手口には、端末にマルウェアを仕込む必要すらありません。「悪用」されているのは人間の信頼であり、見慣れた名前やロゴ、そしてテキストメッセージよりも本質的に信頼できると感じさせるリアルタイム通話がそれを支えています。ユーザーは日常のデジタルライフの中でApple関連の通知やサポート画面を目にすることに慣れているため、FaceTimeはソーシャルエンジニアリングを仕掛けるうえで都合の良い経路となっているのです。
攻撃者の視点から見れば、ソーシャルエンジニアリングと脆弱性を組み合わせることには大きな魅力があります。ソーシャルエンジニアリングによってユーザー名やパスワードを窃取する一方で、ブラウザ側の脆弱性を突く攻撃を使えば、罠を仕掛けたサイトにユーザーが訪問した際に悪意あるコードを密かに実行できます。これらの攻撃を連鎖させることで、攻撃者はアプリレベルの侵害からシステム全体の制御権掌握へと段階を進めることができます。DarkSwordのようなキャンペーンは、まさにこうした形で展開されています。
身を守るための対策
Appleが示している対策は、次のようにシンプルです。
- 予期しない電話やテキストメッセージを信用しないこと。
- 未承諾の連絡に対して、機密情報を絶対に共有しないこと。
- iPhoneを常に最新のiOSバージョンに保つこと。
これに加えて、私たちからも以下を提案します。
- 常に最新の状態を保ったリアルタイムセキュリティソリューションで端末を保護すること。
- 企業に連絡する際は、信頼できる経路を通じて直接連絡すること。電子メール・テキストメッセージ・電話で提示された連絡先は使用しないでください。
- Malwarebytes Scam Guardを使い、そのメッセージが詐欺である可能性を判定すること。
- 銀行やAppleを名乗る予期しないFaceTime通話には、特に警戒すること。これらの組織が、深刻なアカウントの問題についてFaceTimeで連絡してくることは考えにくいためです。
Appleはまた、不審なFaceTime通話の報告も呼びかけています。
「銀行や金融機関からのものと思われる不審なFaceTime通話を受けた場合は、通話情報のスクリーンショットを[email protected]まで電子メールで送ってください」
iPhoneやiPadをアップデートする方法
お使いのiOSまたはiPadOSが最新バージョンかどうかを確認するには、以下の手順を行ってください。
- 「設定」>「一般」>「ソフトウェア・アップデート」の順に進みます。アップデートが利用可能な場合は、この画面からダウンロードしてインストールできます。
- まだ設定していない場合は、「自動アップデート」をオンにしてください。同じ画面から設定できます。こうしておけば、重要なセキュリティアップデートが公開され次第、端末が自動的にインストールしてくれます。
詐欺師は、あなたが思っている以上にあなたのことを知っています。
Malwarebytes Mobile Securityは、フィッシング、詐欺テキストメッセージ、悪意あるサイトなどからあなたを守ります。リアルタイムAI搭載のScam Guardも標準で組み込まれています。