安全だったはずのiPhoneユーザーをおそった悲劇
現在私たちが使っているスマートフォンは、OSの違いによって大きく2つに分類されます。AndroidとiPhoneです。そしてiPhoneはアプリの入手経路が公式ストアであるApp Storeに限定されており、そこにはApple社の厳しい事前審査をパスしたアプリだけが公開されていることから、不正アプリによる端末への脅威が極めて低いという点で定評があります。
ところが最近、そんなiPhoneユーザーが不正アプリによって悲惨な目に遭う事案が出てきました。
今回はその手口を解説するとともに、iPhoneユーザーが不正アプリの被害を受けないために気を付けるべき点をご紹介したいと思います。
iPhoneユーザーを襲ったセクストーションの手口
<実際にあった被害事例>
被害者の男性(仮名:ヒロシ)がある日LINEのIDを交換する掲示板で女性を探していたところ、アキコ(アイコンなし)という人と友達になることができました。アキコから「見せ合いオナニーをしようよ」と誘われてiPhoneのLINEアプリでビデオ通話を楽しんでいたところ、アキコはしきりに「音声が聞こえない」と訴えてきました。そして「〇〇サポート」というアプリをインストールするよう誘導されました。そのアプリはApp Storeにあるものではなく、どこかのサイトからダウンロードするものでしたが、その時はとくに不審に思いませんでした。そのとき電話番号も教えてしまいました。そしたら突然アキコが、スマホの連絡先に登録していた知人の情報を送りつけてきて、「家族や友人にこの動画を晒されたくなければ20万円払え」と脅してきて、コンビニでWebMoney1を買ってくるよう要求されました。でも相手が指定した時間内に準備できなかったためか、少なくとも数人の知人にその動画が送信されてしまいました。ほかの全員にも送ったとだけ連絡がありました怖くて確かめることができませんでした。
警察には相談したものの、現時点で被害がないのであまり取り合ってもらえませんでした。お金を払わなかったのは結果的によかったのかもと思うようにして、動画に関しても自分の不徳のせいだと諦めるようにしました。でも盗まれた情報でこれから更に嫌がらせや脅しがないかと心配です。
1 ネットショッピングなどの支払いに使えるプリペイド型電子マネー。本人確認不要で年齢職業問わず誰でも購入可能。支払い時に16桁の英数字を入力するだけ。
ヒロシさんは典型的なセクストーション2の被害に遭ってしまったようです。 ヒロシさんのiPhoneから連絡先が抜かれてしまった原因は、アキコにそそのかされてインストールした「〇〇サポート」というアプリが原因と思われます。でも不思議なのは、なぜそのような怪しいアプリをiPhoneにインストールすることができたかです。何故ならiPhoneやiPadの場合、脱獄(Jailbreak)3と呼ばれるiOSの改造をしないかぎりApp Store以外からアプリをインストールできないように制限されているからです。でもヒロシさんは脱獄などしていませんでした。一体どうやってアキコはヒロシさんにアプリをインストールさせることができたのでしょうか。その答えを解くカギはApple公式のサポートページにありました。
2 セクストーション:sex(性的な)+extortion(脅迫)の造語。相手の性的な動画や写真を入手して、それを知人にばらまくなどと脅して金銭などを脅迫する行為。
3 脱獄(JailBreak):Appleの許可を受けていない「非公式アプリ」の動作を可能にするためにOSを改造すること。
「Apple Developer Enterprise Program」を悪用していた
「Apple Developer Enterprise Program」とは本来、所属組織で独自に開発したカスタムAppを、社内利用を目的に配布するための仕組みです。会社の業務用にiPhoneを支給している場合は、その業務に合わせて独自に開発したカスタムアプリをインストールさせたいというニーズがあることでしょう。そのニーズにこたえるためにAppleが提供している仕組みがこのプログラムです。 カスタムAppをインストールするには二通りの方法があります。一つはモバイルデバイス管理 (MDM) で自動インストールする方法で、もう一つは手動でインストールする方法です。モバイルデバイス管理 (MDM)で自動インストールした場合は、自動的に信頼が確立します。しかし手動でインストールする場合は、信頼も手動で確立する必要があります。その手順がAppleのサポートページにありました。
Apple – iOSでカスタムのエンタープライズ App をインストールする <https://support.apple.com/ja-jp/HT204460 >
エンタープライズ App を手動でインストールしてはじめて開くと、App の開発元がデバイスで信頼されていないという通知メッセージが表示され「キャンセル」しか押せません。そのためこのままではApp を開くことができません。(図1左)
しかしiPhoneで「設定」>「一般」>「プロファイル」または「プロファイルとデバイス管理」の順にタップして、「エンタープライズ App」見出しの下に表示されているプロファイル名をタップし(図1中)、その開発元を信頼するように設定する(図1右)ことでAppが開けるようになります。
図1 エンタープライズ App を手動でインストールする手順
そこでアキコが案内した「〇〇サポート」というアプリの配布元ページ(図2)をよく見ると、ページ下部に小さい文字でApp利用可能のための設定変更手順が書かれていました。そしてその手順こそがiOSでカスタムのエンタープライズ App を手動でインストールするための手順だったわけです。
図2 不正アプリの配布元ページ
独立行政法人情報処理推進機構(IPA)でも本手口について、「安心相談窓口だより」で注意を呼びかけており、その中で類似の不正アプリ がiPhoneに手動でインストールされるまでの流れを図解しています。(図3)
図3:「App Store」以外から不正アプリをインストールする流れ
出典:IPA – App Store以外の配信アプリによるセクストーション被害を確認 <https://www.ipa.go.jp/security/anshin/mgdayori20191224.html>
iPhoneユーザーが不正アプリを回避するために覚えておくべきポイント
iPhoneユーザーにApp Store以外から不正なアプリをインストールさせる手口としては、今回の「Apple Developer Enterprise Program」を悪用する以外の方法もあります。 一つは、不正な構成プロファイルをインストールさせる手口です。 構成プロファイルとは、iOSの各種設定を自動的に行うための仕組みです。携帯電話事業者が契約者の端末にオプションの設定などを一括で行う場合や、会社が従業員に貸与しているiPhoneのセキュリティ設定を一括で行う場合などに使用されている便利な機能です。しかし、ときに攻撃者がこれを悪用して不正アプリをインストールさせることがあります。 もしも意図せず構成プロファイルをダウンロードしようとする画面(図4)が表示された場合は、「無視」または「キャンセル」をタップして画面を閉じてください。
図4:構成プロファイルをダウンロードする際に表示される確認画面
もう一つは、言葉巧みにiPhoneを脱獄(Jailbreak)させた上でApp Store以外から不正アプリをインストールするよう誘導させる手口です。脱獄の操作はとても面倒なので、よく分からない設定をさせられそうになったら応じないのが一番です。ただしiOSの脆弱性をついて脱獄させる手口もあることから、日頃からiOSの更新を欠かさないことも重要です。
今回はiPhoneのことばかりお話ししましたが、iPhone、Androidどちらの場合も、原則として公式マーケット以外からアプリをインストールしないようにすることで、不正アプリのリスクを抑えるのに有効な対策となります。
セクストーションの被害に遭った場合の対処
残念ながらヒロシさんが、相手に撮られてしまった動画とアドレス帳データを取り戻すことはほぼ不可能でしょう。お金を支払っても約束を守らずさらに追加支払いを要求されたケースや、支払ったにもかかわらず動画をばらまかれたりしたケースもあります。「お金を払わなければ動画をばら撒かれるじゃないか。」と思うかもしれませんが、払ったからといってばら撒かれない保証はありません。だから決して要求には応じないことです。そうすれば、金銭被害を受けた上に動画をばらまかれるという最悪の事態は避けられるからです。
脅迫された時点で最寄りの警察に相談してみるのもよいでしょう。 いよいよ動画をばらまかれそうだなと感じたら、アドレス帳に登録していた知人に事情を説明して、動画が送られて来ても見ないで消してくれるようお願いしておくことで、実質的な被害を最小限にすることも可能です。
不幸にもネットにばら撒かれてしまったら、なるべく早く削除する必要があります。「自分の意に反して動画を公開されてしまった」と明記してセーフライン<https://www.safe-line.jp/>に通報してください。
なお、「Yahoo!知恵袋」には、こうしたセクストーションに関する相談が多数寄せられています。どういう手口で騙されたのか知っておくことも、自己防衛の一つです。
以上で本コラムは終わりです。