この際に犯人は、Macの内容をリモートで消去することも可能だ。消去機能は、本来は紛失時にMacのデータを守る最後のとりでだ。強力な機能だけに、Apple IDが悪意ある相手の手に渡った際には問題となる。Apple IDを失ったユーザーはiCloud上のバックアップにもアクセスできないため、すべてのデータをごっそりと失うことになる。

所有者の回復手段をあらかじめ奪う周到さ

さらに犯人たちは、Apple IDの「信頼できる電話番号」を書き換えることで、被害者がSIMを再発行したとしても2段階認証を実施できない状態にし、本人であることの証明手段を無効化する。

このとき、登録済みのiPhoneに警告のための通知が送られるが、覚えているだろうか――通知が送られる先のiPhoneは、すでに犯人の手に落ちている。

手の込んだことに、続いて犯人たちは、「復旧キー」と呼ばれる文字列まで発行する。これは本来、Apple IDを忘れた際にパスワード代わりに入力できる予備の手段だ。

だが、発行することで副作用が生じ、家族や友人のiPhone経由でパスワードをリセットできない制限がかかる。そして、この副作用こそ犯人のねらいだ。被害者が友人を頼ってパスワードをリセットすることは、この段階で不可能となる。

本人になりすました犯人を止める術はない

こうしてApple IDの所有者になりすました犯人は、もはやデジタルの世界で好き放題に振る舞うことができる。

パスワード管理アプリの「キーチェーン」も操作可能となるため、ここに一元管理されている金融アプリ用のパスワードや社会保障番号なども一斉に漏れることになる。

iPhoneのログイン用に、顔認証のFace IDや指紋認証のTouch IDを利用している場合、パスコードが漏れても安全に思えるかもしれない。

だが双方とも、認証に数回失敗した時点で、自動的にパスコードの入力画面に切り替わる。犯人は顔認証にわざと失敗し、その後でパスコードを入力すれば良いだけだ。つまるところパスワードを把握されてしまうと、これらの生体認証も無力化されるに等しい。

「Appleのサポートはまったく役に立たなかった」

口座から1万ドルを奪われたあと、せめてApple IDへのアクセスを戻してもらおうとAppleのサポートに一縷いちるの望みを託したアヤスさんだったが、結果は期待外れだったようだ。米インサイダーの取材に対し、「まったく役に立たなかった」と憤る。

警察に被害届を提出したが、それをもってしてもどうやら、アカウントの復旧を取り計らってもらうことはできなかったようだ。電話口の担当者は、「iPhoneを探す」などの基本的な操作を試したかどうかを何度も確認してくるだけだったという。

「当然(紛失から)3分で試しましたよ、もちろんです。冗談でしょう、人生のすべてがボロボロなのに、まだ試したかと聞いてくるなんて」