一度乗っ取られると、盗難対策を兼ねているはずの「iPhoneを探す」機能や、リモートによるセキュリティ制御も無効化されてしまい、被害者は対応手段を失う。
犯人はプライベートな写真を盗み見ることや、パスワード・機密情報管理アプリの「キーチェーン」に保存してある社会保障番号(日本のマイナンバーに近い)をのぞき見ることも可能となり、アプリストアでの購入や金融アプリ経由での送金もやりたい放題だ。
以前から危険性を指摘する声も上がっていたが、ウォール・ストリート・ジャーナル紙が詳細を報じたことで、多発する被害の実態が明らかになった。同紙は、「世界中で10億台以上使われているiPhoneのソフトウェア設計に内在する、シンプルな脆弱性」が悪用されていると述べ、設計上の欠陥が影響しているとの見方を示している。
iPhoneを奪われた31歳女性の「乗っ取り被害」
同紙は、被害事例が「全米の警察署に山積み」になるほど多発していると述べ、具体例としてマンハッタンのバーで被害に遭ったという31歳女性の話を報じている。
記事によると事件は、昨年11月、週末の早朝に発生した。被害に遭ったレイハン・アヤスさんは、バーで隣の席にいた男性と打ち解け、愉快な会話を楽しんだようだ。
だが、店を去る瞬間になって男性の態度が急変。アヤスさんのiPhoneをひったくり、そのまま持ち去った。初めからiPhoneを奪い取る目的で接近したとみられる、と同紙は報じている。
ITのスタートアップ企業で働く彼女の反応は、素早かった。iPhoneが盗まれた際のほぼ理想的な対応を取っている。同紙の取材に対し、奪われてからの行動をこのように振り返った。
「すぐに友人の携帯を借り、『iPhoneを探す』にログインしました」
この機能はAppleが提供しているもので、Apple IDを登録したユーザーであれば誰でも、持っているiPhoneやMacなどの現在位置を確認したり、リモートからロックし不正利用を防止したりすることが可能だ。いや、正しくは、“可能なはずだった”。
「(ログインは)できませんでした」と、アヤスさんは厳しい表情を浮かべる。「(iPhoneが)奪われてから3分のうちに、自信を持って覚えていると断言できる私のApple IDのパスワードが、変更されていたのです」
IDを奪われ、130万円を銀行口座から引き出された
犯人は周到な計画のもと、iPhoneをひったくった直後、アヤスさんのApple IDを乗っ取っていたのだ。これはつまり、アヤスさんがiPhoneの正規の持ち主であることの証明が、敵の手に渡ったことを意味する。後述するが、iPhoneのパスコードさえ知られてしまえば、盗まれたiPhoneで容易にIDの乗っ取りを許してしまう。