押し問答の末、担当者はアヤスさんに、iCloudのデータを取り戻す手段はないと告げた。

悪夢は続く。アメリカですでに導入されているクレジットカードのApple Cardについて、アヤスさんの名義で発行申請が行われていることが発覚した。皮肉にもサポートとの通話のまさにその最中、申請が承認されたとのメールがアヤスさんのもとに届いたという。

Androidも脆弱性を抱えている

不幸中の幸いというべきか、アヤスさんの場合は米法の規定に基づき、金銭的な被害については銀行の補償を受けることができたという。しかし、重要なデータは依然戻らない。「Appleの善良な顧客」を自認していた彼女の心に、傷を残す結果となった。

こうした犯罪の被害者として、iPhoneユーザーが集中的にねらわれているようだ。ミネアポリス警察のイリチコ氏は、ウォール・ストリート・ジャーナル紙に対し、「私が捜査に臨んだ件では、盗まれた携帯の99%がiPhoneでした」と語る。用済みとなった携帯を処分する際、高値で売りやすいためだとイリチコ氏はみている。

ただし、テックメディアのギアライスは、AndroidとGoogleアカウントも基本的に同様の脆弱性を抱えていると指摘する。AndroidのPIN(パスコード)を盗み見られ、次いで携帯を奪われると、Googleアカウント全体が大規模な脅威にさらされるおそれがある。

iPhone
写真=iStock.com/Shahid Jamil
※写真はイメージです

安全性と利便性との板挟み

こうした状況への技術的な対策が望まれるが、Appleとしても対応を取りづらいところではある。同社として取り得る対策は、Apple IDの変更の際にパスコードではなく、Apple IDのパスワードを求めるという改善だろう。しかし、それも数秒程度の時間稼ぎに終わるおそれがある。

多くのユーザーはApple IDのパスワードを「キーチェーン」に保存していると考えられ、そのキーチェーンはiPhoneのパスコードがあれば解錠できてしまうからだ。

現状でユーザーが取れる最も重要な自衛策は、パスコードの入力に慎重になるという1点に尽きる。流出すれば、預金だけでなくデジタルデータの大部分が失われるおそれもあり、銀行の暗証番号などよりも格段に被害が大きい。人前でパスコードを入力する際は、カードの暗証番号を入力するときのように、確実に画面を手で覆うなどの対策を取りたい。

公共の場ではパスコードの入力を避け、顔認証や指紋認証のみを使うことも有効だ。また、「設定」アプリから英数字混じりの複雑なパスワードに変更することも可能だが、肩越しに録画されてしまえばあまり意味がない。複雑なパスワードを使うこと自体はセキュリティ上望ましいが、依然として入力時には周囲に気をつける必要があるだろう。

加えるならば、銀行アプリや送金アプリなどの重要なパスワードは、キーチェーンに保存しないという方針も検討に値する。利便性との板挟みであり、すべての人が実行できる策ではないこともまた確かではあるが。