パスコードを見られたiPhoneを盗まれると自分のApple IDへ永久にアクセスできなくなる可能性がある

2023年2月、ウォール・ストリート・ジャーナルがiPhoneを盗まれた人々についてのレポートを公開しました。多くの被害者はバーや公共の場所でロック画面のパスコードを入力しているところを見られてしまったと訴えており、数桁のパスコードを知りさえすれば決済アプリ等で多額の請求を行えてしまう状況の改善を求めていました。これに続いてウォール・ストリート・ジャーナルが4月19日に新たなレポートを公開し、パスコードを知られた被害者がアカウントから閉め出されているという情報を伝えました。

The iPhone Setting Thieves Use to Lock You Out of Your Apple Account – WSJ
https://www.wsj.com/articles/the-iphone-setting-thieves-use-to-lock-you-out-of-your-apple-account-716d350d

ウォール・ストリート・ジャーナルが2月に明らかにしたように、泥棒が公衆の面前でiPhoneユーザーのパスコードを盗み見た後、デバイスを盗み出し、決済アプリやその他の機密情報に広くアクセスする事例が増えてきています。

パスコードをのぞき見られたiPhoneが盗まれ銀行口座に不正アクセスされる犯罪が報告されている – GIGAZINE

iPhoneのパスコードを知っている泥棒は、Face IDやTouch IDが有効になっていたとしても、設定アプリで被害者のApple IDパスワードを簡単にリセットすることが可能。その後、「iPhoneを探す」をオフにすることで、端末の持ち主が端末の位置を追跡したり、iCloud経由で端末のデータを遠隔消去したりすることを防ぐこともできます。

このレポートが公開された後、数十人の人々が「同じ被害を受けた」と報告し始めました。被害報告を調査したウォール・ストリート・ジャーナルは、被害者に新たな共通点があることに気づきます。

iPhoneとパスコードを盗まれたと訴える被害者の中には、Apple IDへのアクセス権を回復させる28文字のコード「復旧キー」についての情報を提供した人々が多くいました。このキーはユーザーがApple IDのパスワードをリセットしたり、Apple IDへのアクセスを復旧する際にAppleが要求するもので、一度キーを作成するとApple IDへのアクセス権を取り戻すためにキーと端末の両方が必要になります。

復旧キーは端末のパスコードさえ知っていれば作成でき、すでに作成されている場合でも簡単に新しい復旧キーを作成して確認することができます。端末と復旧キーの両方を取られてしまった被害者はApple IDをリセットすることすらできないため、手も足も出せないと訴えているそうです。

被害者の中にはそもそも復旧キーの存在を知らなかったという人も多く、知らぬ間に泥棒に設定されていたことが後から分かったという報告も行われているとのこと。Appleのウェブサイトに、信頼できるデバイスと復旧キーの両方へのアクセスを失うと「アカウントから完全にロックアウトされてしまう可能性がある」と記載されているように、泥棒が端末とパスコードの両方を取得してしまうと復旧キーまであっさりと失いアカウントからロックアウトされてしまうということがレポートから分かります。

Appleなどが実施するセキュリティ対策を管理する非営利団体・FIDO AllianceのAndrew Shikiar氏は「テック系企業にとっての主な課題は、ユーザーがパスワードを忘れたり、2要素認証の方法にアクセスできなかったり、デバイスを紛失したりしたときに、ユーザーの身元を確認できるようにすることです」と述べています。

アカウントを回復させる手段としてテック系企業各社はさまざまな方法を展開しており、例えばLinkedInは職場とIDの確認を実施しているほか、Instagramは自撮り動画のアップロードを要求することで対応しています。

今回被害を受けた人の中には、運転免許証やパスポートなどの身分証を提示しての復旧を要請したり、中にはDNA検査や網膜スキャンまでしてもよいと主張したりした人もいましたが、Appleは「プライバシー上の懸念からそのような記録はない」と伝え、アカウントの回復が困難だと回答したとのこと。多くの被害者は、アカウントの所有権を証明する方法がないということに困惑していると伝えられています。