🌍 ニュース総合

2023年5月2日 、フィッシング対策協議会は、Apple発信であると偽装し個人情報を抜き取るサイトへ誘導するショートメッセージ（SMS）に対する注意喚起を発行した。フィッシングサイトで、Apple ID、パスワード、名前や住所、クレカ情報などを決して入力しないよう呼び掛けている。

一見、Appleからのショートメッセージには違和感が無い

フィッシング対策協議会が公開したappleを騙るSNSの一例（画像は「フィッシング対策協議会」公式サイトより転載）

ショートメッセージ(SMS)は、携帯電話番号さえわかれば相手にメッセージを送信できる便利なツールであるが、逆に言うと、それを悪用すればフィルタリング無で不特定多数に一方的に発信することが可能である。

今回のメッセージは、「Appleからの重要なお知らせ」といった短文であることに加え、Apple利用者自身もSMSが送信されてきた携帯番号をApple-IDなどと紐付けを行っていることが多く、SMSでメッセージ自体が届くことには違和感がないユーザーが大半であろうと思われる。

また、各種ログインの際に、SMSを利用した2段階認証が近年一般的であることも、ユーザーの猜疑心を減少させる効果があると思われる。URLにパスやパラメータが付いていることがあるので、それをチェックするのも1つの防御策だ。

ユーザーの危機感をあおり、住所やクレジットカード情報などを入力させる

フィッシング対策協議会が公開した、Appleを騙るフィッシングサイトの一例。一見するだけでは偽物とわからない（画像は「フィッシング対策協議会」公式サイトより転載）

上述した2段階認証での用途のように、ショートメッセージはユーザー側のアクションで発信されることも多く、日常的に広告が届くメールなどと比較しても、具体的なアクションが必要との印象をユーザー側に持たせる効果があり、それもユーザー側を誘導することにつながっていると考えられる。

具体的な手口はこうだ。SMSのリンクをクリックすると「Apple ID Appleアカウントの管理」と称したフィッシングサイトに飛び、Apple IDやパスワードの入力を求められる。この画面自体がAppleの正規画面に似つかわしいものであり、違和感はない。ID、パスワード入力後は、「Apple IDがロックされており、解除の為に情報入力が必要」との趣旨のメッセージが表示される。フィッシングサイト側では正規のID・パスワードはその時点では把握していないため、仮に誤った情報を入力しても同様の画面になると思われる。

IDやパスワードを入力してしまった段階でその情報は相手側に吸い上げられると考えられ、さらにその後、氏名や生年月日、電話番号、住所などの個人情報のほか、クレジットカード情報の入力画面へと遷移し、ユーザー側のさまざまな情報を吸い上げることを狙ったサイト構成となっている。どんどん巧妙になるフィッシングサイト。見慣れたサイトだからと機械的に情報を入力するのではなく、毎回偽物ではないかと疑ってみるくらいがいいのかもしれない。

引用元:【フィッシング対策協議会】
参照元:【Apple】

※サムネイル画像は（Image:​「フィッシング対策協議会」公式サイトより引用）