昨春登場した日本語対応のアップルの偽サイトは、11月も1日平均2~3件のペースで開設/閉鎖が続いた。攻撃者の一部が日本人宛てにフィッシングメールを送っているらしく、フィッシング対策協議会が注意を呼びかけた10月には、52件の報告が寄せられたという。
アップルのフィッシングは、その後もコンスタントに続いているが、フィッシングメールが英文なので、騙される可能性は低く、ユーザーの興味もひと段落ついた11月は、報告数が19件にまで減っている。
■Apple IDの詐取は「2ステップ確認」で防げる
同協議会ではアップルのフィッシングを「Apple ID を搾取するフィッシング」としているが、Apple IDに関しては、「2ステップ確認」を設定しておけば、このフィッシングに対する心配は一切不要になる。SMS(ショートメッセージサービス)が受信できる端末か、iPhoneやiPadなどのiOS端末が最低1台必要だが、お持ちの方はぜひ設定しておいていただきたい。端末ごと盗まれない限り、アカウントへの不正アクセスの心配は不要となる。「2ステップ確認」については下記の関連URLを参照いただきたい。
■怖い「クレジットカード情報」詐取
このフィッシングの本質的な問題は、クレジットカード会社をかたるフィッシングと同様、クレジットカード情報を騙し取られることだ。アップルの偽サイトにログインすると、続いてアカウントの確認と称し、クレジットカード情報や個人情報などの登録情報の入力を求められる。クレジットカード情報は、カード番号、名義人、有効期限の最低3点で不正使用できるようになり、セキュリティコードまで渡してしまうと、3Dセキュア未対応の多くのオンライン取引で不正使用が可能となる。
<正規サイトの見分け方:アップル>
カード情報を入力する際には、錠前マークの表示と正当な取引相手であることの確認を怠らないよう、細心の注意を払っていただきたい。アップルはEV SSL対応なので、確認は容易だ。接続すると、アドレスバーのURLは「https://」で始まる表示になり、錠前マークと、運営者名(Apple Inc.)が表示され、同社の本物のサイトであることが簡単に確認できる。
(2015/12/04 ネットセキュリティニュース)
【関連URL】
・2015/11 フィッシング報告状況(フィッシング対策協議会)
http://www.antiphishing.jp/report/monthly/201511.html
・Apple ID の 2 ステップ確認についてよくお問い合わせいただく質問 (FAQ)(アップル)
https://support.apple.com/ja-jp/HT204152