iPhoneユーザーを標的にした、Apple IDとパスワードの情報を盗み取ろうとするフィッシングが時折発生しています。中には、Appleからの通知と見分けがつかないものもあります。開発者が、本物そっくりに作られたフィッシングを見破るヒントを公開しています。
どっちが本物か、見分けられますか?
iPhoneやiPadを使っていると目にすることの多い、Apple IDのパスワード入力を要求するポップアップですが、以下の画像のどちらがフィッシング目的の偽物か、見分けがつきますか?
左が本物、右がフィッシング目的の偽物
画像の左が本物のAppleによるポップアップで、右がフィッシング目的の偽物です。
これは、ユーザーを狙う詐欺師も、その気になればAppleからの通知と見分けがつかないレベルの巧妙なポップアップウインドウをいとも簡単に作れることを示している、と開発者のフェリックス・クロース氏は警鐘を鳴らしています。
ポップアップには、ユーザーのメールアドレスを求めるものも、パスワードだけを求めるものもあり、いずれも本物と同じデザインの偽物が作られてしまいます。
左が本物、右がフィッシング目的の偽物
本物と偽物を見分けるポイントは?
クロース氏は、ユーザーはフィッシングから身を守るために、ポップアップに対して用心深くなることが大切だ、と述べています。
その上でクロース氏は、本物と偽物のポップアップの見分け方のポイントとして、ポップアップが表示された状態でホームボタンを押してアプリを閉じた際の動作を挙げています。下の画像で、左がシステムによるポップアップ、右がフィッシング目的のポップアップです。
左が本物、右がフィッシング目的の偽物
ホームボタンを押すとポップアップが閉じられた場合はフィッシング目的のものである可能性が高く、Appleによる本物のポップアップなら、アプリを閉じてもポップアップは表示されたままのはずだ、とアドバイスしています。
2ファクタ認証も有効
同氏はこのほかの対策として、Apple IDのパスワードをポップアップに入力するのではなく、設定アプリでログインすること、ポップアップ画面にIDやパスワードを入力することをなるべく避けることを勧めています。
クロース氏はAppleに対し、簡単に偽装されてしまうポップアップ以外の方法でユーザーから重要な情報を取得するよう求めているそうです。
さらに、設定アプリのトップに表示されるApple IDの設定画面から「パスワードとセキュリティ」に入り、2ファクタ認証をオンにしておくのも、Apple IDの乗っ取りを防ぐ上で有効です。
Source:FELIX KRAUSE via MacRumors
(hato)
