ハッカーが iPhoneを遠隔ロック、解除に『身代金』を要求する事件多発。Find My iPhoneを悪用

iPhone が突然ロックされ、解除したければ金を払えと『身代金』要求メッセージが現れたという報告が海外で相次いでいます。被害の報告が多いのはオーストラリア、次いでニュージーランドや英国など。




Twitter やアップルのサポートフォーラムへの報告によると、現象は夜中に iPhoneからの大きな警告音で目を覚まし何ごとかと画面を見たらロックされて使えなくなっていた、あるいは iPhone や iPad を使っている最中に突然画面がロックされ、解除できなくなったなど。

画面には "Device hacked by (人名). For Unlock Devices ..." と、iPhone や iPad が誰かに「ハック」されたことと、解除したければ PayPalで指定のアカウントに100米ドル送金するよう要求するメッセージが現れたとされています。

また iOS機器がロックされると同時に、Apple ID のメールアドレスに Find My iPhone からのリモートロック通知メールが届いたの報告も多数。犯人は何らかの方法でユーザーの Apple ID とパスワードを入手して、不正ログインした iCloud から Find My iPhone の機能で遠隔ロックとサウンド再生、メッセージ表示を実行したと思われます。

消せないウィンドウなどの嫌がらせで金品を要求するタイプのマルウェアはむしろPCで長い歴史がありますが、PC以上に個人情報の塊でユーザーとの心情的な距離も近く、ますますクラウドと融合しつつあるスマートフォンで、突然大きな音でアクセス拒否されたユーザーの動揺は想像に難くありません。



Find My iPhone (iPhone / iPad を探す)は、今から5年前の WWDC 2009 で発表された機能。iPhone など iOS機器またはMacを紛失した際に、他のアップル機器かウェブの iCloud からログインすることで端末の現在地を地図に表示したり、サウンドを再生してメッセージを表示したり、あるいは端末のロックができる iOS の基本機能です。

紛失モードではなくした iPhone が勝手に覗かれないようリモートからパスコードロックを有効にするとともに、発見した人に連絡先を伝えるなどの目的でメッセージも表示できます。「iPhoneが遠隔操作されて突如ハッカーからのメッセージが！」と書けば何やら映画的スーパーハカーじみていますが、iCloudに不正にログインさえできれば、挙動としてはiOSに元から組み込んである機能だけで実行できます。

不正ログインの部分も、ここ最近はあらゆるサービスが利用者に注意喚起しているように、たとえば外部の脆弱なサービスから漏洩してネットに出回ったメールアドレス / パスワードの組みを使えば、複数のサービスでパスワードを使いまわしたり、ありがちで弱いパスワードを使っているアカウントについては不正侵入は防ぎきれません。

(今回の「iPhone身代金」事件でどのような方法が使われたかは不明ながら、被害報告が地域的に豪州を中心に偏っていることは何らかのローカルなサービスとの関連があるかもしれません)。


さて、特に高度な技術で狙われて iPhone に何か悪質なコードを埋め込まれるようなシナリオではない(と思われる)ものの、外部から知らない相手に勝手にロックされるのはやはり洒落になりません。また今回は分かりやすい遠隔ロックと効率の悪そうな PayPal口座指定で『身代金』を要求してきたため話題になりましたが、iCloudに不正ログインされた時点でユーザーに気づかせずさまざまなデータを盗み見たり、現在地をリアルタイムに追いかけたり、あるいはリモートワイプすることも可能だったと考えられます。


また今回の事件では、犯人にリモートロックされてロック解除できなくなったユーザーと、普通に自分でロック解除できたユーザーがいます。解除できなくなったのはこれまでパスコードロックを有効にしていなかったユーザー、解除できたのは有効に設定したいたユーザーです。

これは Find My iPhone の仕様によるもので、紛失モードの際にはパスコードを設定していればそのコードでロックがかかるものの、設定していなかったユーザーはその場で新たにパスコードを設定してロックできる仕組みになっているため。すでに設定したパスコードを外部から上書きしてロックはできないため、これまで Touch ID やパスコードロックを使っていれば遠隔ロックされてもすぐに解除できました。


身代金引き渡しの方法に選ばれた PayPal の担当者は地元紙 Sydney Morning Herald (リンク先)の照会に対して、今回の犯人が指定したメールアドレスに対応する PayPalアカウントは存在していないと回答しています。

また犯人が名乗ったやや珍しい人名についても、実在するソフトウェア企業のエンジニアを含む同名の人物がネット検索などでは見つかりますが、犯人が無意味に実名を名乗る理由があるとも思えません。慌てた被害者が名前で検索したら、何やら難しい専門家らしいから本当かも！と思わせる効果を狙ったのか、それとも同名の人物に取材や問い合わせを殺到させて困らせたかったのか etc はまったく不明。

とりあえずは今後の似たような被害を防ぐために、もし他のサービスと Apple ID で同じパスワードを使いまわしていたらすぐに変更して、追加セキュリティの「2ステップ確認」(2段階認証)も検討しましょう。