長年のTidBITS読者から、最近少しパニックになった様子で連絡がありました。iPhoneで訃報を検索していたところ、Googleの検索結果で候補に挙がったところ、表示されたサイトにiPhoneが感染したという、恐ろしい警告がいくつも表示されていたのです。
彼は少しパニックになり、すぐにSafariを閉じて大丈夫だと願いました。しかし10分後、1Passwordから新しいデバイスまたはブラウザ拡張機能からのサインインを知らせるメールが届きました。彼は困惑し、1Passwordのサポートに連絡しました。サポートは、それが偶然の産物であり、悪意のあるサイトへのアクセスとは無関係であることを確認しました。
心配する必要はないと彼に安心してもらうために私がどのように支援したかを共有したいと思います。あなたやあなたの知り合いが同様の Web ベースのマルウェアの誘惑に遭遇した場合には、このプロセスを繰り返すことができます。
1Passwordの通知を確認する
まず、1Passwordが特定したIPアドレスが気になりました。友人に「What's My IP」を使って確認してもらったところ、新しいサインインの送信元は確かに彼のIPアドレスであることが確認されました。つまり、少なくとも彼のネットワーク上のデバイスの1つが不正アクセスしたのであり、インターネット上の他の場所にいる悪意のある人物によるものではないことが確認されました。
マルウェアが彼のデバイスに侵入し、そこから 1Password にサインインした可能性はゼロではありませんが、1Password ではログインにアカウントのパスワードと秘密鍵の両方が必要となるという追加手順が必要なため、その可能性は非常に低いです。(秘密鍵は基本的にランダムに生成された 2 番目のパスワードで、アカウントのパスワードと組み合わせてデータを保護する暗号化鍵を作成します。デバイスにローカルにのみ保存されます。) マルウェアが何らかの方法でローカル ストレージから秘密鍵を抽出し、それを復号化し、アカウントのパスワードと組み合わせてログインした可能性は極めて低いです。不可能なことはありませんが、そのような機能を備えたマルウェアは、Web を閲覧している不特定多数の人々ではなく、犯罪者や政府によって高価値ターゲットに対して使用されるでしょう。
友人がiPhoneやMacで1Passwordに手動でサインインしていないにもかかわらず、なぜこの通知を受け取ったのか説明できません。調査によると、このメッセージはSafariの強制終了、iCloudプライベートリレーの使用、ブラウザのキャッシュや履歴の消去、1Password拡張機能のアップデート、動的IPアドレスの変更(1Passwordが新しいデバイスや場所で動作していると認識する)、または1PasswordまたはSafariのアップデートによって表示される可能性があります。説明のない1Password通知は珍しいようですので、これらのアクティビティがサインイン通知をトリガーするわけではありませんが、可能性はあると思います。
悪意のあるウェブサイトの調査
iPhoneのセキュリティについて長年研究してきた経験から、iOSはランダムなウェブサイトからの攻撃に対して堅牢になっていると確信しています。これは、Appleのセキュリティ強化の取り組みがあまりにも成功しているため、倫理的に問題のある人がそのような脆弱性を発見したとしても、それを数百万ドルで売却したり、例えば著名な暗号通貨保有者への標的型攻撃に利用したりする可能性があるためです。普通の人なら、Appleに報告するでしょう。
そこで友人のGoogle検索をもう一度試してみたところ、彼がクリックしたサイトと他にもいくつか見つかりました。いずれも記事の投稿日は2024年11月13日でした。問題のサイトはWordPressで雑に構築されており、AIが生成したと思われる死亡記事が掲載されていました。「[日付を挿入]に突然の訃報が伝えられ、彼を知る人々は深い悲しみに暮れています」といった文章から、その真偽が分かります。他にも、ページ上に怪しいギャンブル広告が掲載されていることや、タイトルと本文で故人の名前が変わっていることなどから、その兆候が見て取れます。おっと。
サイトが読み込まれるとすぐに、iPhoneが不正アクセスされたという恐ろしい警告が表示され始め、システムクリーナーアプリやVPNの使用を勧められました。いくつか例を挙げます。
リンクをタップすると、別のページが開き、すぐにApp StoreのシステムクリーナーやVPNアプリにリダイレクトされました。これらのアプリが正規のものかどうかは分かりませんが、疑念は抱いています。Safariで悪意のあるサイトにアクセスするのは構わないのですが、テスト用ではないデバイスに悪意のある可能性のあるアプリをインストールするほど無謀なことはしません。
これらのアプリへのリンクは貼りませんが、調査のために Apple に報告しました。
教訓
この経験から何を学ぶべきでしょうか?
- 偶然の一致は起こるものです。友人は1Passwordの通知を見て心配していましたが、私の知る限り、それは単なる偶然でした。2つの出来事が近い時期に起こったからといって、必ずしも関連があるとは限りません。
- 慌てないでください。 『銀河ヒッチハイク・ガイド』の言う通りです。ウェブサイトに警告メッセージが表示されたからといって、必ずしも何か悪いことが起こったわけではありません。詐欺師たちは、恐怖と危険を煽ることで、あなたの理性をすり抜けようとしているのです。
- タブまたはウィンドウを閉じる:詐欺サイトを消すには、iPhoneまたはiPadの右下にあるSafariのタブボタンをタップし、問題のタブを閉じます。Macの場合は、Command + Wでウィンドウを閉じます。iPhoneまたはiPadでタブボタンが表示されない場合は、ページの一番上近くをタップしてください。そうすると、Safariのフレームが表示されることがよくあります。
- むやみにアプリをインストールしないでください。意図せずアクセスしたウェブサイトでアプリのインストールを促され、App Storeにリダイレクトされた場合は、インストールしないでください。AppleはApp Storeのすべてのアプリを審査していますが、その審査プロセスは完璧ではありません。正当なアプリが誤って却下され、疑わしいアプリがすり抜けてしまう例もあります。アプリの信頼性は、App Storeへの掲載の有無だけでなく、他の要素も考慮して判断する必要があります。
- 死亡記事は簡単に偽造できる:この詐欺の最も厄介な点は、悲しみに暮れる人々、特に高齢者を狙っている点でしょう。死亡記事は似たような内容が多いため、偽造が容易であり、あらゆる名前の死亡記事を自動生成するサイトを作ることは難しくないでしょう。(同様に問題となるのは、死亡記事を利用して検索トラフィックを増やし、その結果、生存者を含むAIが生成した質の低い死亡記事で広告インプレッションを獲得しようとするサイトです。)
気をつけておけよ。