パスワード詐取に悪用の恐れ：iOSアプリでのフィッシング詐欺、ダイアログ偽造で簡単に？　開発者が警告

アプリによってシステムダイアログに見せかけたポップアップを表示し、Apple IDのパスワード入力を求めることは、極めて簡単だという。

フィリックス・クラウス氏

　AppleのiOSでApple IDのパスワード入力を促す仕組みを悪用し、アプリ内でフィッシング詐欺のポップアップ画面を表示させ、ユーザーのパスワードを盗むことができてしまう問題が見つかったとして、開発者が10月10日のブログで概略を公表した。

　この問題は、iOSとAndroid向けの開発ツール「fastlane.tools」を手掛けるフィリックス・クラウス氏が発見した。同氏のブログによると、Apple IDのパスワード入力を促すポップアップ画面は、iOSの更新版をインストールする際などで求められるが、ロック画面やホーム画面だけでなく、例えばiCloudにアクセスしたりアプリ内購入を行う場合などに、アプリ内でも表示されることがある。

　だが、この仕組みはアプリによって簡単に悪用できるとクラウス氏は解説する。UIAlertControllerを使ってシステムダイアログそっくりに見せかけたアラート画面を表示させれば、テクノロジーに詳しいユーザーでさえも、それがフィッシング詐欺だと見抜くのは難しいという。

本物のシステムダイアログ（左）とフィッシング詐欺用のダイアログ（右）。見た目では見分けがつかない（フィリックス・クラウス氏のブログより）

　しかも、システムダイアログに見せかけた詐欺ダイアログを表示することは極めて簡単で、どんなiOSエンジニアでも、手早くフィッシングコードを作成できてしまうとクラウス氏は指摘する。詐欺ポップアップでユーザーの電子メールアドレスを表示せずに、パスワードの入力を促すことも可能だとしている。

　ユーザーがフィッシング詐欺を見分ける方法としては、ホームボタンを押してアプリと一緒にダイアログが消えれば、それはフィッシング詐欺であり、ダイアログとアプリがまだ表示されていれば、システムダイアログと判断できるという。

　モバイルアプリ内のフィッシング詐欺については、まだあまり研究が進んでいないものの、今後はもっと現実的な問題になるだろうとクラウス氏は予想している。