これってフィッシングメール？

10/22に同じように2通ずつ2回メールが届きました。不信に思って調べたところ、メールソース自体は本物でした。しかし、過去一度ハッキングされたメールアカウントで作成したID（現在不使用）のみにだけ届いていたので、一度ハッキングされたメールアカウントもしくはハッキングされたメールアカウントの一覧が出回って、それを使ったハッキングプログラムを誰かが動かしているのではないかと考えています。

もちろん、私に対して行われたハッキング行為はそうであったということでしかありません。他の方も同様とは限りませんので

（１）URLはクリックしないでメールを破棄

（２）まずはメールアカウントのパスワードを変更

（３）次にAppleIDのパスワードを変更

ということが大事な対策だと思われます。

今回の顛末は以下URLでまとめてみましたのでご参考までに。

http://lifeiscrime.info/?p=364

私のところにも来ました。

13:01分と18:09分の2回です。

どちらも『Apple ID パスワードの再設定方法。』

という件名でした。

『Apple ID パスワードが再設定されました。』

という件名のメールを受けたとしたらかなり焦ったはずです。

2回目の受信で、Appleのサポートに連絡を取り、念のため

サポートの指示を受けながらパスワードの再設定を行いました。

その際も変更通知のメールを受信しましたが。

『アカウント情報変更のご案内』という件名になっていました。

差出人(From)はApple<appleid@id.apple.com>です。

最初のあやしいメールの方も、差出人は同じでした。

とにかく怪しさ満点、要注意ですね。

家に帰ったらiTunesストアで無料のアプリも含め見に覚えのない

購入履歴がないかどうか確認が必要です。

無料アプリの購入だから実害がないわけではなく、アプリの中での

ツールだかなんだかが不正購入の対象として狙われたりとかがある

ようでした。

サポートからのアドバイスによれば、必要なければ使わない間は

クレジット情報を削除しておくほうがよいとの説明でした。

登録名を変えてもなお、変更後の名前で届くあたり、やはりapple社のサーバーに何者かが侵入、もしくは不正メール送信のプログラムを仕込んで不特定多数にメールをappleのメールサーバーから送信するようにしているかもしれませんね。

Apple社のサーバに侵入しなくとも、メールアドレスさえあればこのメールは送ることができます。

10/18 フィッシングメール？　が届きました。: Apple サポートコミュニティ

試しに、そのメールが送られてきたメールアドレスを使ってEメール認証を行ってみてください。

＃Apple IDに登録していないメールアドレスで同じ操作を行ってみたところ、送信しましたとはなりますが実際には送られてこなかったので、登録していないメールアドレスに送られた人がいるのだとしたら本当に偽装メールの可能性もありますが・・・

とはいえ、メールアドレスとパスワードが別ルートで漏洩していてそれを使用された場合Apple IDが乗っ取られてしまう可能性はあるので心配ならメールアドレスのパスワードとApple IDのパスワードをセットで変更しておくのがいいと思います。

私に届いたものはメール自体は本物でした。なので、氏名は正確なものでした。今回と同じ事案であるかどうかはいろいろあると思いますが、こういった場合はまずメールアカウント自体のパスワード変更をした上でAppleIDもパスワード変更することをおすすめします。

通常はメールアドレスとApple IDにサインインするパスワード両方がそろわないと乗っ取られませんよね。Apple IDの主要メールアドレスがわかっただけでは乗っ取りは成功しません。敵がユーザの個人情報をつかんでいる場合はそれをヒントにパスワードを試していくでしょう。しかし一般的にはランダムに狙ってくるはずですからパスワード解析等のツールを使ってランダムに襲ってくるはずです。他のサービスとパスワードを異なる物に設定したり、大文字小文字記号をランダムに加えたりする事でアタックの成功率を下げる事が出来るはずです。

パスワードをリセットする場合、Apple IDの主要メールアドレスを入力して主要メールアドレス宛にその旨のメールが送られるシステムですよね。そのメールのリンク先にアクセスしてリセットを行います。これで乗っ取られるという事は当該メールアカウント自体が乗っ取られているという事ですよね。No-Delayさんはこの件を指摘していらっしゃるのだと思います。でもこれってユーザ側が対処しないとどうしようもないかも。

セキュリティと利便性は相反する物です。セキュリティを高めれば高めるほど利便性は低下していきます。ですのでどのあたりで折り合いを付けるのか難しい問題ですね。

もし現状以上の妙案がある場合はぜひともフィードバックしてみてください。ユーザの声が多ければ採用されるかもしれません。

アップル - フィードバック - Apple

同じ日付の報告がもう一つありました。　かなり広範囲で攻撃？が行われている様子です。　しかし、実際にApple IDを変更した時に届くメールと全く同じような文面なので、これはよほど注意していなければ、フィッシングメールだと気付けないです。

→　Apple ID　パスワードの再設定方法のメール

http://www.appps.jp/archives/1877543.html

英語版ではこの詐欺はずいぶん前からあったようですね。

上のURLはこの詐欺メールについて書かれた日本語のページです。

私も今日日本語版のものが届きました。

しかしこの件は日本のAppleは知ってるんでしょうか、

早く手を打たないと大変ですよね。

ID情報がもれている可能性があります。

皆さんはAppleに登録しているアドレスにこのメールが来たんですか、

それとも個人名とメルアドが両方分かっているアドレスに片っ端から送っているだけなんでしょうか。

私は、Appleに登録しているアドレスで受信しました。

今回のメールを受診する要件としては、メールアドレスと氏名が正しく把握されていることになるかと思います。

思い当たるとすれば、以前Yahooのアカウント情報が大量に漏洩した際に該当していたようなので、それくらいなのですが。

まあ、氏名とアドレスでしたらその他ででも収集できるのでしょうけど…。

・ムササビさんのリンク先より抜粋(その１)、

『メール自体もそうですが、リンク先もAppleのサイトそっくりに作ってあるということで、新規ユーザーは特に注意が必要だと思われます。』

私は、スマホで受信し、リンク先を表示しては見たのですが、本当にAppleのサイトそっくりで、今でも本当じゃないかと半信半疑なほどです。

ただし、リンク先では特にIDの入力や設定変更は行っていません。

・ムササビさんのリンク先より抜粋(その２)、

『メール内にあるリンクの上にマウスポインタを置けば、アドレスがAppleと無関係なものを利用していることがわかるそうです。これで偽物かどうか見抜けますね。』

いや～、PCのメーラーなんかで受信するとそんな判定も出来るのでしょうが、スマホではポインタを置くなんて出来ないですもの…。

・ムササビさんのリンク先より抜粋(その３)、

『非上に巧妙で悪質なメール。騙されないように気をつけてください！ 』

特に、2011年とは状況も変わっており、スマートフォンやタブレットの

普及によりPCでメール受信している可能性も低くなっているのでしょうから、

絶対、引っかかる人が出てくると思います。

しかも、おそらくこのような騙しにのるような場合には、

騙されたとすら気づかずに過ごしているはずで、結局、

後日請求金額の通知など実害が出るところまで行きそうな気が来ます。

Apple側も何らかの広報手段を使って注意喚起しないと

サポート頼みの対応だけでは企業としてダメージを

被ることになるのではないでしょうか？

失礼致します。　つい先日、似たようなメールの報告がありましたよ。

→　10/18 フィッシングメール？　が届きました。

→　「Apple ID パスワードの再設定方法。」というメール （これはつい先ほど）

Apple IDのパスワードを変更していないにも拘らず、再設定が済んだとのメールが来るということは、これはかなり警戒する必要があるのではないでしょうか？

そうかなぁ。

ログインIDを別途任意の文字列にした所でApple IDの主要連絡先メールアドレスを設定しているのであれば結果は同じ事だと思う。

Apple IDの主要連絡先メールアドレスを設定しないシステムは現実問題として不可能ですよね。ID自体がメールアドレスであるか否かに関係なく、IDに対応するメールアドレスが存在する以上この手の詐欺は避けられないです。

インターネット上のサービスにサインインするIDを作成する場合、個人情報を紐付ける事無く個人を特定できる方法を開発できればそれだけで特許が取れるかも？。

そうだとしても、IDと紐づいたメールアドレスは存在しますよね。そのメールアドレスに対してランダムに送られた詐欺メールが届いた場合は、騙される人は一定数いるでしょうって話なのですよ。

メールアドレスをweb上で入力するか否かの問題ではなく、IDに対応したメールアドレスが存在する以上どうしても詐欺メールは届いてしまいます。そして一定数のユーザは詐欺メールと気がつかないままリンクを踏んでしまうのですよ。

そういった意味ではログインIDがメールアドレスだろうが任意の文字列だろうが誤差の範囲でしょう。

今回は詐欺メールに関してのトピックスです。これがユーザのタイピングを盗む事を前提としたトピックスであればNo-Delayさんの話も一理あります。

ご意見ありがとうございます。いただいたご意見を反映してブログにも詳しく書くことができました。お礼申し上げます。今回の件、ユーザ側の対処が一番大事なことだと思います。スレ主の方にもぜひパスワード変更はお薦めしたいと思っています。

確かにご指摘通りです。IDで登録しても、パスワード再設定でメアドを入力させるシステムではだめですね。IDに紐づいた主要メアドの登録はシステム上の任意ですが、必要な登録かなと思いますので、それは仕方ないと思います。

そのため、最近では「ID」は任意の文字列（できればシステムが発行した文字列）で登録させておき、パスワード再発行は「秘密の質問」と「生年月日」を組み合わせ、メールアドレス自体は再設定時に入力させないシステムが主流になってきているようです。