iOSは安全だと思われがちですが、iPhoneやiPad上に偽物のポップアップを表示させ、いとも簡単にApple IDとパスワードを盗み取ることが可能であることを開発者Felix Krause氏が警告し、その偽物の見分け方をアドバイスしています。
本物と見分けのつかない精巧な偽物のポップアップ
1つ目は、iTunesストアでApple IDのパスワードを要求するポップアップ表示です。Apple IDとして自分のメールアドレスがポップアップ内に記載されており、パスワードを入力するよう求められています。左側が本物、右側が偽物ですが、全く同じように見えます。
2つ目は、メールアドレスの表示のないケース。こちらも左側が本物、右側が偽物ですが、やはり同じように見えます。
開発者は、UIAlertControllerを使い、本物のシステムダイアログと見た目は全く同じように見える表示をさせることが可能です。わずか30行ほどのコードで本物と見分けのつかない表示をさせることができるそうです。
こうした技術について知識のあるユーザでも、それがフィッシング攻撃であることを見極めるのは困難です。
なぜユーザーは騙されるのか。
iOSユーザーは、iPhoneやiPadから自分のApple IDとパスワードの入力を求められることに慣れきっています。「またか」と思って、深く考えずに入力してしまうのです。そのパスワード要求がどこから出ているのか、常に疑ってかかることが重要です。
システムから表示されているように見える、こうした偽物のポップアップ表示は、開発者であれば非常に簡単に作成できます。したがって、見た目では判別しがたく、入力せずに回避していく必要があります。
フィッシング攻撃から身を守る方法
- ホームボタンを押して、アプリの挙動を確かめる
- アプリとダイアログが閉じれば、フィッシング攻撃
- アプリとダイアログが引き続き表示されれば、システムダイアログ。その理由は、システムのダイアログがiOSアプリの一部ではなく、別のプロセスで実行されるから
- ポップアップ表示に自分の情報を入力せずに、その表示を閉じて、改めて「設定」を手動で開いてみる
- ダイアログのキャンセルボタンを押しても、そのアプリは引き続きパスワードフィールドの内容にアクセスできる。最初の文字を入力後であっても、アプリはすでにパスワードが設定されている可能性がある
偽物のポップアップ表示かどうかを確かめるには、まず最初に「ホームボタン」を押してみることが有効です。偽物の表示であれば、ホームボタンを押せば消えます。Appleが要求する表示であれば、ホームボタンを押しても表示されたままです。
とにかくポップアップ表示には何も入力せずに、本当に情報の入力が必要か、設定を開いてみて確かめることも重要です。この回避方法は、たとえばメールに含まれたリンクを直接開かずに公式サイトをブラウザで開いてそのメールの内容が正しいか確かめることと同様です。常に疑ってかかることが詐欺にあわないためには必要だということでしょう。
また、Apple IDの2ファクタ認証も有効だとアドバイスしています。
2 ファクタ認証は、Apple ID の認証を二重化することでセキュリティを強化し、たとえパスワードが他人に漏れても、本人以外はアカウントにアクセスできないようにする認証方式です。
Apple ID の 2 ファクタ認証 - Apple サポート
万が一、フィッシング詐欺に引っかかり、パスワードが漏えいしても、2ファクタ認証なら最悪の事態を防げる可能性があります。
2ファクタ認証は、「設定」にあるApple IDの「パスワードとセキュリティ」から設定できます。
Krause氏はこの問題をAppleに報告し、簡単に偽装できるポップアップではなく、設定から入力するように修正することをAppleに提案しています。
via Mac Rumors
