ウォール・ストリート・ジャーナルのジョアンナ・スターンとニコール・グエンは、個人や警察によって報告された、米国で年間数百から数千人の被害者が出る可能性のあるiPhoneユーザーを狙った一連の憂慮すべき攻撃について解説した記事(有料)と付随ビデオを公開した。
動画をご覧ください。簡単に説明すると、犯人はバーで誰かにiPhoneのパスコードを入力させ、こっそりと観察します(またはパートナーに入力させます)。そして、iPhoneを盗み出し、逃走します。数分以内に、犯人はパスコードを使用してiPhoneにアクセスし、Apple IDのパスワードを変更します。これにより、「探す」を無効にしたり、Apple Payで購入したり、iCloudキーチェーンに保存されているパスワードにアクセスしたり、写真アプリで社会保障番号や個人情報窃盗に使用できるその他の情報を含む書類の写真を探したりできるようになります。その後、銀行口座から送金したり、Apple Cardに申し込んだりなど、ユーザーがアカウントに完全にアクセスできない状態で、さまざまな操作を実行できます。
そして、iPhoneもデータ消去して転売されるでしょう。Androidユーザーによるこのような犯罪の報告はほとんどなく、ある警察官はAndroidスマートフォンの転売価値が低いためだと推測しています。動画の中で、ジョアンナ・スターンは、Androidスマートフォンのパスコードを入手した窃盗犯は、同様の個人情報窃盗や金銭窃盗を実行できると述べています。
ウォール・ストリート・ジャーナルの記事は3種類の攻撃を詳述していますが、そのうち明らかに回避可能なのは1つだけです。それは、私が上で述べた記事で特に強調されているものです。しかし、スターン氏とグエン氏は、薬物を投与された被害者(残念ながらよくある問題です)や、暴力を受けた被害者にもインタビューを行い、彼らの暗号を明かしました。被害者はいかなるケースにおいても何ら不正行為を行っておらず、都市部のバーやそれに類する場所によく行く人は皆、用心すべきです。
ウォール・ストリート・ジャーナルの報道が大きく取り上げられたことを考えると、AppleはiOS 17で、あるいはそれ以前にもこの脆弱性に対処すると確信しています。明らかな解決策は、「設定」>「あなたの名前」>「パスワードとセキュリティ」>「パスワードを変更」でパスワードを変更する前に、現在のApple IDのパスワードを入力するようにユーザーに求めることです。これでiCloudキーチェーンへのアクセスはブロックされませんが、少なくともiPhoneのデータを消去できるようになります。
Appleがこれまで現在のApple IDのパスワードを要求しなかったのは、パスコードが安全な2要素認証とみなされているためでしょう。iPhoneを所有し、パスコードも知っているからです。一方、Apple IDサイトにログインしてアカウントを管理する場合、現在のパスワードを入力し、2要素認証を通過し、もう一度現在のパスワードを入力してパスワードを変更する必要があります。少なくともAppleが他の選択肢を検討するまでは、簡単に変更できそうに思えます。
追加のパスワード入力手順に最も近いのは、スクリーンタイムのパスコードです。スクリーンタイムを有効にし、別途4桁のスクリーンタイムのパスコードを設定し、「コンテンツとプライバシーの制限」をオンにして、「アカウントの変更」>「許可しない」を選択すると、そのパスコードがないとApple IDのパスワードを変更できなくなります。ただし、残念ながら、「設定」>「スクリーンタイム」>「コンテンツとプライバシーの制限」>「アカウントの変更」>「####」 >「許可」と進まなければ、「設定」>「あなたの名前」に入ることすらできません。ほとんどの人は、このような手間のかかる設定には我慢できないでしょう。
Stern と Nguyen が指摘するもう一つの欠陥は、Apple の新しいハードウェアセキュリティキーオプションが有効になっている場合、ユーザーがデバイスのパスコードを持っていると、変更を行う際に必ずしもハードウェアキーの入力を求められるわけではないということだ(「Apple、ハードウェアセキュリティキー対応の iOS 16.3、iPadOS 16.3、macOS 13.2 Ventura をリリース」、2023年1月23日参照)。ハードウェアキーのいずれかを持っていなくても、セキュリティキーによる保護を完全に解除することもできる。Apple は、この高セキュリティオプション(たとえ一部のユーザーしか利用しないものであっても)が、その約束をどの程度果たせるのかを再評価すべきだ。
自分を守る方法
腕時計のひったくり、バーやデートでの薬物使用、暴力犯罪の被害に遭うなんて考えられない、と思うかもしれません。しかし、パスコードの盗難は他の状況でも起こり得ます。ウォール・ストリート・ジャーナルの記者が指摘したように、パスコードの盗難は非常に深刻な結果をもたらすため、たとえバー通いでも暴力的な窃盗事件の発生率が高い地域に住んでいなくても、パスコードの悪用を阻止するために、誰もが以下の対策を講じておくべきだと思います。
- 公共の場ではiPhoneの物理的なセキュリティに注意してください。これらの攻撃には、パスコードとiPhoneの物理的な所持の両方が必要です。私たちの多くは、iPhoneを常に使用し、他の人もスマートフォンを持っているため、公共の場でiPhoneをさらすことに無頓着になっています。また、Appleは、パスコードでコンテンツを保護し、アクティベーションロックでそのまま転売できないようにすることで、iPhoneは泥棒にとって役に立たないというメッセージを効果的に発信しています。これにより、たとえiPhoneを交換する手間と費用がかかっても、セキュリティに対する懸念が軽減されるでしょう。使用中に泥棒にiPhoneを奪われるのを防ぐ良い方法はありませんが、使用していないときは手に持ったり目の前のテーブルに置いたりせずに、ポケットや財布にしまっておけば、泥棒に狙われる可能性は低くなります。
- 公共の場では必ず Face ID または Touch ID を使用してください。これらの攻撃の鍵はユーザーのパスコードを入手することです。そのための簡単な方法は、入力する様子を観察または録画することです。特に公共の場で Face ID または Touch ID に完全に依存している場合、誰にも知られずにパスコードを盗むことはできません。(警察は、飲酒中に薬物を摂取した人は顔や指を盗まれる可能性があると考えていますが、それではパスコードが漏洩することはありません。) 生体認証情報のセキュリティに関する誤った考えに基づいて Face ID または Touch ID を避けてきたのであれば、ぜひ使用してください。指紋または顔情報は、デバイス内のセキュア エンクレーブにのみ保存されます。これは、ほとんどの場合、パスコード入力よりもはるかに安全です。Face ID または Touch ID がうまく機能しない少数の人の 1 人である場合は、ATM で暗証番号を入力するときと同じように、見ている可能性のある人からパスコードを隠してください。
- より強力なパスコードを検討しましょう。iPhone のパスコードはデフォルトで6桁です。4桁にダウングレードすることは可能ですが、これはあまりお勧めできません。一方、より長い英数字のパスコードにアップグレードすることも可能です。動画の中でジョアンナ・スターン氏がこれを推奨しており、これにより誰かがこっそりと観察することが難しくなるかもしれませんが、セキュリティ強化がその追加労力に見合うかどうかは疑問です。誰かがあなたが英数字のパスコードを入力する様子を録画する可能性は依然としてありますし、入力が長くて難しいほど、入力に時間がかかり、正しく入力することに集中しすぎて周囲への注意が薄れるでしょう。(興味深いことに、数字だけの英数字パスコードを設定した場合、入力にはテンキーを使用できますが、数字以外の文字を追加する場合はフルキーボードを使用する必要があります。)それでも、ほとんどの人には標準の6桁以上のパスコードをお勧めできません。ただし、111111 や 123456 のように、簡単に観察したり推測したりできる数字ではないことを確認してください。
- 信頼できる家族以外にはパスコードを絶対に教えないでください。銀行口座への完全なアクセス権を誰かに与えないのであれば、パスコードも教えてはいけません。どうしても信頼できない状況で一時的に信頼できない人を信頼する必要がある場合は、パスコードを相手が覚えやすい簡単なもの(123456など)に変更し、iPhoneを返却したらすぐに元に戻してください。
- iCloudキーチェーンの代わりに、サードパーティ製のパスワードマネージャーを使用してください。Appleは「設定」>「パスワード」と「システム設定/環境設定」>「パスワード」でiCloudキーチェーンのインターフェースを改良し続けているため、このオプションをお勧めするのは心苦しいです。しかし、オペレーティングシステムがパスコード以外の方法でiCloudキーチェーンのパスワードへのアクセスを保護するまで、iCloudキーチェーンに頼るのは十分に安全とは言えません。一方、サードパーティ製のパスワードマネージャーは、別のパスワードでパスワードを保護します。たとえサードパーティ製のパスワードマネージャーが生体認証ロック解除に対応していて、ユーザーが生体認証ロック解除を有効にしたとしても、フォールバックはデバイスのパスコードではなく、パスワードマネージャーのアカウントパスワードになります。
- 社会保障番号やその他の身分証明書番号が写っている写真を削除してください。紛失した場合に備えて、社会保障カード、運転免許証、パスポートなどの写真をバックアップとして撮影しておくことはよくあります。これは悪い考えではありませんが、これらの画像を「写真」アプリに保存すると、これらの攻撃に対して脆弱になります。代わりに、パスワード マネージャーに保存してください。実際の社会保障番号やその他の身分証明書番号と一緒に、、、、、、の写真アプリで検索してください。また、、、、、、およびバックアップとして撮影したその他のクレジットカードの名前で検索してください
SSN。TIN(EIN写真アプリでのテキスト検索は、 macOS 13 Ventura および iOS 16 で機能します。以前のバージョンのオペレーティング システムの場合は、「写真検索」をお試しください。「TextSniper と写真検索で画像内のテキストを操作する」(2021 年 8 月 23 日) を参照してください。)driver’s licensepassportVisaMasterCardDiscoverAmerican Express
私の反応
私は口先だけでなく行動で示しています。こうした攻撃は主に大都市のバーの常連客や路上犯罪が頻発する地域の人々を狙うため、私自身が攻撃を受けるリスクは非常に低いとはいえ、被害に遭うリスクを減らすための対策を講じてきました。
まず、私は既に可能な限りFace IDに頼っていますが、もしFace IDが認証に失敗して暗証番号を入力せざるを得なくなったら、パスコード入力中に誰が見ているか、より一層意識することになります。普段使わないiPhoneを公共の場で持ち歩くのは、既に少し恥ずかしいので、今後は以前よりもポケットに入れておくことが多くなるでしょう。
第二に、iCloud キーチェーンに保存されているパスワードをすべて削除することにしました。MacBook Air で、システム設定 > パスワード と進み、すべてのパスワードを選択して Delete キーを押しました。(Safari のパスワード設定パネルでも同じことができます。) iCloud キーチェーンを本格的に使ったことがなかったので、これは特に苦労しませんでした。そこに保存されているものはすべて基本的にランダムでした。最近まで LastPass を使っていましたが、LastPass の侵害後、1Password に切り替えて LastPass のパスワードをすべてインポートしました (2022 年 12 月 24 日の記事「LastPass、セキュリティ侵害の詳細を公開」参照)。1Password には、長年にわたるさまざまなインポートやテストで既に大量のパスワードが保存されていました。それに加えて、Tonya と Tristan と共有しているボルトもありました。今では、パスワードを使用するたびに数分かけて、重複したパスワードや、自動生成されたパスワードの残りなど、関連する不要なものをクリーンアップしています。
iCloudキーチェーンを愛用している方は、パスワードの削除に抵抗があるかもしれません。しかし、LastPassから1Passwordへの切り替えは簡単でした。1Passwordでは、iCloudキーチェーンのパスワードをエクスポートして1Passwordにインポートする方法も提供されています。エクスポートとインポートを実際に試し、1Password(またはお好みのパスワードマネージャー)を1~2週間使ってみて、iCloudキーチェーンからすべてを削除する前に、自分に合っているか確認してみてください。将来的にiCloudキーチェーンに戻したいと思った場合も、それは可能です。
3つ目に、写真ライブラリで身分証明書などを探し、テキスト検索を使って視覚的に確認しました。いくつかをエクスポートして1Passwordにインポートし、その後すべて削除しました。(写真アプリでは、削除した画像は「最近削除した項目」アルバムに約30日間保存され、その後完全に削除されます。すぐに削除するには、そのアルバムの写真を選択して「削除」を押してください。)運転免許証、パスポート、クレジットカード、保険証、その他のカードは財布から見つけました。写真アプリで検索した後、検索結果が数件以上表示された場合は、必ず「すべて表示」をクリックしてください。さらにcard500枚ほどの写真をスクロールして探し、他の検索では見つからなかったものをいくつか見つけました。(段ボールが写っている写真をこんなにたくさん撮っていたなんて、誰が知っていたでしょう?)
機密性の高い画像を写真アプリの「隠し」アルバムに移動し、iOS 16/Venturaの新機能「Face ID」または「Touch ID」でアルバムを保護することも少し考えました。しかし、残念ながら、iPhoneでFace IDを複数回試したところ、最終的にパスコードの入力を求められ、隠しアルバムが露呈してしまいました。これは、パスコードがいかにして王国への鍵となるかを示す、もう一つの例と言えるでしょう。
こうした攻撃の被害に遭う可能性はごくわずかで、私自身も特に心配しているわけではありませんが、ウォール・ストリート・ジャーナルの報道を受けて、セキュリティに関する自分の思い込みや行動を改めて見直し、改善するきっかけとなりました。この刺激に感謝いたします。皆さんも、ご自身のセキュリティ状況について改めて考えてみてほしいと思います。