iPhone窃盗犯がデバイスとパスコードを盗む方法を説明
近年、窃盗団によるiPhone盗難が多発し、被害者のデバイス経由で銀行口座から数千・数万単位の預金が盗まれている。Wall Street Journalは、刑務所で服役中のプロの窃盗犯、Aaron Johnsonと面会しインタビューした様子を伝えた。
彼は何百台ものiPhoneを盗み出し、被害者のアプリから多額の金銭を搾取した後、さらに盗んだiPhoneを売りさばいて週末に20,000ドル程稼いでいた。
Aaron Johnsonの手の込んだ計画は、ミネアポリスのバーの客をターゲットにし、彼らの携帯電話とパスコードの両方を入手するというものだった。Johnsonはバーに入ると、ターゲット客に「ドラッグ持ってるけどいる?」と声をかけ、欲しいと返事をしてきた相手に「じゃあまず俺の情報をスマホにメモして」と彼らのスマートフォンを巧みに奪い、パスコードを本人から聞くか、盗み見して入手していた。特に狙われやすいのは大学生で、パーティー好きな彼らはバーで泥酔している場合が多い。
犯人は盗んだパスコードを使ってApple IDのパスワードを素早く変更することができたため、被害者をiPhoneから締め出すことができただけでなく、Appleアカウント全体をコントロールすることもできた。これには、Face IDの設定を操作し、持ち主の顔を削除して自分の顔を登録し、機密情報や銀行アプリへのアクセスを可能にすることも含まれていた。これらの行為が迅速に実行されたことで、単純なパスコードの侵害がiPhoneユーザーのセキュリティとプライバシーに与える影響の大きさが浮き彫りになり、熟練した悪用者の前ではデジタル・アイデンティティの脆弱性が示されることになった。
iPhoneのロックを解除するだけでなく、犯人は金融アプリをターゲットにし、被害者の預貯金、当座預金、暗号通貨を引き出した。ノートに記載された情報を悪用して社会保障番号にアクセスし、被害者が寝ている間に口座から資金を抜き取り、午前5時前の迅速な送金を実現した。不正に得た利益は、アップル・ペイを利用して高額な買い物をするために使われ、金銭的被害の大きさを示している。
巧妙な手口で、犯人は目先の金銭的利益のためにiPhoneを盗んだだけでなく、入手したパスコードやパスワードを使ってiPhone内のデータを消去してから販売していた。犯人は「iPhone 14 Pro Max」のような再販価値の高い特定のiPhoneモデルをターゲットにし、1台あたり最高900ドルの利益を得ていた。一晩に複数のiPhoneを販売する大規模な作戦で、週末に2万ドルを稼ぐ時もあった。このスキームの特徴は、盗んだ資金を追加のApple製品に再投資し、Appleの脆弱性を見つけて悪用することで、窃盗と利益の自立的なサイクルを作り出していることだ。
Appleは、最近リリースされた iOS 17.3 で Stolen Device Protection(デバイスの盗難保護設定)を導入しました。しかし、この機能はデフォルトではオフになっており、セキュリティ強化のためにユーザー自ら手動でオンにする必要があるようだ。
保護設定をオンにすることで、不正なパスワード変更やFace IDの操作を防ぐことはできても、それ以外にもユーザーは、簡単に閲覧できてしまう「メモ」アプリや「写真」のようなアクセスしやすい場所に機密情報を保存しないように注意しなければならない。
iPhoneの盗難や悪用への対策として、文字と数字を組み合わせた強固なパスコードを作成することが望ましい。人の多い場所では周囲への注意を怠らず、自分のデバイスとパスコードを守ることが重要だ。