マザーボードは本日、iCloudでロックされたiPhoneのハッキングの実態を調査する 新たなレポートを発表しました。「iPhoneを探す」(iCloudロックを有効にする)をオンにすることは一般的に非常に安全だと考えられていますが、マザーボードは、窃盗犯、ハッカー、そしてプログラマーがセキュリティ機能を回避して盗難デバイス(および未盗難デバイス)を販売する複数の方法を指摘しています。
iCloudでロックされたiPhoneやiOSデバイスにアクセスする主な方法は、iCloudアカウントのパスワードを入力することです。Motherboard の記事によると、デバイスを盗む前に「iPhoneを探す」をオフにしてiCloudからログアウトするためのパスワード入力を強要する窃盗事件が増加しているとのことです。しかし、窃盗犯やハッカーがiCloudロックを回避しようとする主な方法は、この方法ではありません。最もよく見られる2つの手口は、偽の領収書の作成とフィッシング詐欺のようです。実際、フィッシングキットはiPhone窃盗の初心者向けに販売されています。
実際には、「iCloudロック解除」と呼ばれるこの手口は、様々な詐欺やサイバー犯罪者による複雑なサプライチェーンを巻き込んだ手口です。偽の領収書や請求書を使ってAppleを騙し、自分がiPhoneの正当な所有者だと信じ込ませたり、iPhoneの情報を検索するデータベースを利用したり、Apple Storeでソーシャルエンジニアリングを仕掛けたりといった手口が存在します。中には、iPhoneの元の所有者からiCloudのパスワードを盗むために設計された、特製のフィッシングキットがオンラインで販売されているほどです。
マザーボードは、盗まれたiPhoneを新しいIMEI番号で再プログラムする精巧で複雑な計画もあるが、あまり一般的ではないと指摘している。
iPhone の CPU をロジックボードから取り外し、再プログラムすることで、本質的に「新しい」デバイスを作成できます (これは非常に手間がかかり、まれな方法です。通常は中国の再生ラボで行われ、IMEI と呼ばれる「クリーンな」電話識別番号を盗む必要があります)。
もう一つ問題を複雑にしているのは、携帯電話会社などの正規の企業が、iPhoneを下取りに出す際に顧客のミスによりiCloudロックされたデバイスを処分してしまうケースがよくあることです。しかし、 Motherboardの調査によると、Appleはサードパーティ企業と提携して大量のiPhoneのロックを解除しているようには見えません。これらの企業は、中古市場にiCloudロックされたデバイスを流通させているのです。
eBay、Craigslist、卸売サイトなどには、「iCloudロック済み」や「部品取り用」などと謳ったiPhoneの出品が数多くあります。これらのiPhoneの中には盗難品も含まれている可能性はほぼ確実ですが、多くはそうではありません。独立系修理業者やiPhone再生業者に携わる3人の専門家によると、中古iPhone(iCloudロック済みのものも含む)は、T-Mobile、Verizon、Sprint、AT&Tなどの携帯電話会社や携帯電話保険会社が(多くの場合、サードパーティの処理業者を通じて)余剰在庫を売却するプライベートな「キャリアオークション」で大量に売買されているとのことです。
iCloudロックされたiPhoneの販売増加に伴い、iPhoneハッカー、プログラマー、そして窃盗犯のコミュニティも拡大しています。彼らはTelegramなどのアプリを使ったグループチャットで、ヒントやコツを共有することがよくあります。Motherboard はそのようなチャットグループの一つにアクセスし、彼らがどのようにiPhoneのロック解除に取り組んでいるかについて詳しく知ることができました。
100人ほどが参加するこのグループチャットでは、毎日、被害者を騙してiCloudのパスワードを盗み出す方法や、ロック解除に成功した写真のアップロード、Appleをテーマにしたステッカーの共有など、様々な情報が共有されています。紛失、盗難、あるいはロック解除されたiPhoneの多くは、ハッカーにロック解除されて再び販売される前に、このグループにたどり着きます。このグループには、人々のiPhoneやiPhoneのロック画面に残されたメッセージがほぼ絶え間なく投稿されています。
ハッカーは、セキュリティ機能の回避プロセスを開始するために、非公式ツールを使用して iPhone の iCloud ロックの状態を確認しているようです。
マザーボードは詐欺師が使用しているデータベースを正確に確認することはできなかったが、「iPhoneを探す」が有効化されているかどうかや、紛失、盗難、または「クリーン」として報告されているかどうかなど、マザーボードのデバイスに関する正確な情報を返すオンラインサービスをいくつかテストした。
さらに懸念されるのは、一部のサードパーティがAppleの社内システムであるGSXへのアクセスを199ドルで販売していると主張していることです。しかし、Motherboardが確認したオファーの中には、詐欺と思われるものもありました。
マザーボードは、GSXアカウントへのアクセスや関連情報をオンラインで提供する広告を複数発見しました。そのうち1つはビットコイン専門のフォーラムに掲載されており、他の広告は見込み客にメールで問い合わせるよう促すものでした。マザーボードは、GSXアカウントを1個199ドルで販売すると主張する人物とメールでやり取りしました。複数のTwitterユーザーも、アクセスを販売していると主張していました。(ただし、TwitterでGSXアカウントを宣伝している人物の中には詐欺師と思われる人物もいます。)
販売されているiCloudロックフィッシングキットは、紛失または盗難されたiPhoneの所有者を騙してパスワードを盗み出すために特別に設計されています。初心者向けに、その手順を解説したチュートリアルビデオまで提供されています。
より一般的なフィッシングキットは、銀行の詳細、メールの認証情報、またはオンラインアカウント全般を盗むなど、ハッカーによってさまざまな目的で使用される可能性がありますが、これらのキットはiCloudアカウントをフィッシングするために特別に設計されています。iCloudフィッシングキットには、被害者にiPhoneが見つかったと思わせるためのテンプレートが付属しています。これらのキットを使用すると、ハッカーはAppleから送信されたように見えるSMSメッセージを送信し、被害者をだましてiCloudの認証情報を渡させようとします。さらに、被害者の電話が見つかったと思われる場所の偽の地図を生成して、さらに誘惑することもできます。キットはハッカーのターゲットリストを追跡し、フィッシングが成功すると通知を送信します。使用方法に関するチュートリアルビデオによると、キットの中には技術的な設定をほとんど必要としないものもあります。
iCloud 専用のフィッシングキットはわずか 75 ドルで販売されています。
ProKitの開発元であるBlackViirusは、Motherboardのオンラインチャットで、製品の価格は75ドルで、フィッシングキットの流通には再販業者ネットワークを利用していると述べた。BlackViirusは1,500人以上の顧客を抱えていると主張している。フィッシングは大規模なもので、iCloudロック解除業者の中には大量注文の処理を謳う業者もある。彼らはPayPalやSkrillといった別の送金サービスでの支払いを受け付けていることが多い。
偽造領収書の手法については、Lakshore Tech RepairのオーナーであるMick Ventocilla氏は、 修理業界でこの戦術を試みる人々を知っているとMotherboardに語った。
「偽のレシートを作ってApple Storeに持っていき、『Apple IDの情報を忘れてしまったのですが、レシートはあります』と言うんです」と、ミシガン州のスマートフォン修理店Lakeshore Tech Repairのオーナー、ミック・ベントシラ氏はマザーボードに語った。ベントシラ氏によると、自身はiCloudのロックを解除しようとはしないものの、修理業界ではそうする人が多いという。「彼らはそれを削除しています。これが最も一般的な手口の一つです」
別のアンダーグラウンドチャットでは、 マザーボードは偽の iPhone の領収書が約 150 ドルで売られていることを発見しました。
マザーボードは、運送業者の領収書のコピーへのアクセスのみに特化した別のTelegramチャットルームにアクセスした。そこでは、詐欺師が請求書1枚につき約150ドル、または2枚購入で割引を請求していた。
一部のハッカーは、Apple サポートに電子メールで連絡して iPhone から iCloud ロックを解除してもらったと報告しています。
詐欺師は、IMEI番号(デバイスごとに固有の識別コード)や推定購入日など、正確な情報が記載された、本物に見えるAppleの請求書を武器に、AppleカスタマーサポートにデバイスからiCloudを削除するよう依頼することができます。詐欺師は必ずしもAppleストアに行く必要はありません。請求書チャットルームで共有されたスクリーンショットには、Appleサポートとメールでやり取りするだけでiCloudを削除できた事例が示されています。ただし、この方法は盗難品としてマークされていない携帯電話でのみ有効である可能性が高いです。
記事の全文は大変興味深いので、Motherboard の記事全文を ここでご覧ください。
havebin.com を Google ニュース フィードに追加します。
FTC: 収益を生み出す自動アフィリエイトリンクを使用しています。詳細はこちら。
