AppleサポートAppおよびYouTubeチャンネルのお知らせ

* iOS向けAppleサポートAppのバージョン5.6.1が公開されました。

YouTube - Apple Japanチャンネルで有用なヒントや使い方を配信中です。

コミュニティでの投票方法と通知設定

コミュニティでの投票方法や通知の設定方法に関する記事を公開しました。

Apple Account(Apple ID)の不正利用を確認する方法

Apple Accountに関するよくある質問についてはこちらのページを、また不正利用を確認する方法についてはこちらのドキュメントをご参照ください。

しばらく返答が寄せられていないようです。 再度ディスカッションを開始するには、新たに質問してください。

これってフィッシングメール?

初めてここに書きます。よろしくお願いします。


さきほど、こんなメールが突然届きました。


ユーザがアップロードしたファイル


ちなみにこのメールを受信し、宛先となっているメールアドレスはアップルIDとして登録しているものではなく、私のPC用フリーメールのアドレスです。(iPhoneで送受信できる設定にはしています。)


こんな再設定手続き申請をした覚えは当然ありません。


でもマスクした名前部分の漢字表記も私で合っています。


なんだこれ?まさか昨今流行りのフィッシング詐欺メールってやつ?と思い、ネットで調べていたら、一分もたたないうちに↓のメールが来ました。


ユーザがアップロードしたファイル


このメールも、実際に受信したアドレス、一番上の宛先、本文1行目にマスクした部分は私のPC用フリーメールのアドレスです。マスクした宛名も私の名前の漢字表記で合っています。


私はそれこそフィッシングだったら怖いと思って、一通目のメール文面中のリンクは触っていません。何もしていないのにいきなりこの二通目が来ました。


え、なんにもしてないのにどういうこと?まさかIDを盗まれた!?と思い。PCからリンクを踏まずにApple IDのサイトにアクセスし、普段使っているIDとPassでログイン作業したところ…すんなりログインできました。


iPhoneでアプリを開き登録してある残額を確認しましたが、減ってはいないようです(ちなみに私はクレジットカードの登録は一度もした事がなく、常にコンビニのAppstore cardを購入してアクティベートしています。)


これはやはり…フィッシングの類とみていいのでしょうか?その割には宛名に私の名前が正しく漢字で入っているのが気になります。というか気持ち悪いです。でも普段使っているIDとPassで今もログインできるし、残額は減ってない…不思議でしょうがありません。

AppleID メール

投稿日 2013/10/22 18:07

返信
返信: 28

2013/10/23 01:12 No-Delay への返信

リンク先、読ませていただきました。あまりメール構造とかに詳しくないもので、専門的な話は正直わかりませんでしたが(汗)最後のまとめでは「今、何を対策したらいいか」が簡潔にまとめられていて非常にわかりやすかったです!


私がこのメールを受信したのも、実はhotmailでした。しかし過去に流出等はないように思います。


登録名を変えてもなお、変更後の名前で届くあたり、やはりapple社のサーバーに何者かが侵入、もしくは不正メール送信のプログラムを仕込んで不特定多数にメールをappleのメールサーバーから送信するようにしているかもしれませんね。


となればやはりappleに最重要問題として認識していただき、対策を講じつつ可及的速やかにこのメールの危険性を訴えていただかないと困りますね。

2013/10/23 01:30 No-Delay への返信

そうかなぁ。

ログインIDを別途任意の文字列にした所でApple IDの主要連絡先メールアドレスを設定しているのであれば結果は同じ事だと思う。

Apple IDの主要連絡先メールアドレスを設定しないシステムは現実問題として不可能ですよね。ID自体がメールアドレスであるか否かに関係なく、IDに対応するメールアドレスが存在する以上この手の詐欺は避けられないです。


インターネット上のサービスにサインインするIDを作成する場合、個人情報を紐付ける事無く個人を特定できる方法を開発できればそれだけで特許が取れるかも?。

2013/10/23 01:40 やすどん への返信

確かにご指摘通りです。IDで登録しても、パスワード再設定でメアドを入力させるシステムではだめですね。IDに紐づいた主要メアドの登録はシステム上の任意ですが、必要な登録かなと思いますので、それは仕方ないと思います。


そのため、最近では「ID」は任意の文字列(できればシステムが発行した文字列)で登録させておき、パスワード再発行は「秘密の質問」と「生年月日」を組み合わせ、メールアドレス自体は再設定時に入力させないシステムが主流になってきているようです。

2013/10/23 01:42 No-Delay への返信

そうだとしても、IDと紐づいたメールアドレスは存在しますよね。そのメールアドレスに対してランダムに送られた詐欺メールが届いた場合は、騙される人は一定数いるでしょうって話なのですよ。


メールアドレスをweb上で入力するか否かの問題ではなく、IDに対応したメールアドレスが存在する以上どうしても詐欺メールは届いてしまいます。そして一定数のユーザは詐欺メールと気がつかないままリンクを踏んでしまうのですよ。

そういった意味ではログインIDがメールアドレスだろうが任意の文字列だろうが誤差の範囲でしょう。


今回は詐欺メールに関してのトピックスです。これがユーザのタイピングを盗む事を前提としたトピックスであればNo-Delayさんの話も一理あります。

2013/10/23 01:58 やすどん への返信

詐欺メールの話ならおっしゃるとおりだと思います。今回の件はメール自体は本物だったので、メールアカウント自体がハッキングされるとAppleIDと同様のシステムなサービスも同時にハッキングされることに問題があります。そのため、パスワード再発行は「秘密の質問」と「生年月日」を組み合わせ、メールアドレス自体は再設定時に入力させないシステムであれば再設定メールすら送れないことになるのでセキュリティは向上するのではと考えています。

2013/10/23 02:08 No-Delay への返信

通常はメールアドレスとApple IDにサインインするパスワード両方がそろわないと乗っ取られませんよね。Apple IDの主要メールアドレスがわかっただけでは乗っ取りは成功しません。敵がユーザの個人情報をつかんでいる場合はそれをヒントにパスワードを試していくでしょう。しかし一般的にはランダムに狙ってくるはずですからパスワード解析等のツールを使ってランダムに襲ってくるはずです。他のサービスとパスワードを異なる物に設定したり、大文字小文字記号をランダムに加えたりする事でアタックの成功率を下げる事が出来るはずです。


パスワードをリセットする場合、Apple IDの主要メールアドレスを入力して主要メールアドレス宛にその旨のメールが送られるシステムですよね。そのメールのリンク先にアクセスしてリセットを行います。これで乗っ取られるという事は当該メールアカウント自体が乗っ取られているという事ですよね。No-Delayさんはこの件を指摘していらっしゃるのだと思います。でもこれってユーザ側が対処しないとどうしようもないかも。


セキュリティと利便性は相反する物です。セキュリティを高めれば高めるほど利便性は低下していきます。ですのでどのあたりで折り合いを付けるのか難しい問題ですね。


もし現状以上の妙案がある場合はぜひともフィードバックしてみてください。ユーザの声が多ければ採用されるかもしれません。


アップル - フィードバック - Apple

2013/10/23 02:12 やすどん への返信

ご意見ありがとうございます。いただいたご意見を反映してブログにも詳しく書くことができました。お礼申し上げます。今回の件、ユーザ側の対処が一番大事なことだと思います。スレ主の方にもぜひパスワード変更はお薦めしたいと思っています。

2013/10/23 04:34 No-Delay への返信

詐欺メールに関しては草の根運動が大事だと思います。知っている人は絶対に引っかからないのですよね。引っかかる人はそれを知らない人ですので如何にして最低限の情報を知らない人に対して広めていくかが大事ですね。

このあたりはオレオレ詐欺対策と似ているかも。


*一部編集させていただきました。Apple Inc.

2013/10/23 05:01 まこ♪ への返信

登録名を変えてもなお、変更後の名前で届くあたり、やはりapple社のサーバーに何者かが侵入、もしくは不正メール送信のプログラムを仕込んで不特定多数にメールをappleのメールサーバーから送信するようにしているかもしれませんね。


Apple社のサーバに侵入しなくとも、メールアドレスさえあればこのメールは送ることができます。

10/18 フィッシングメール? が届きました。: Apple サポートコミュニティ

試しに、そのメールが送られてきたメールアドレスを使ってEメール認証を行ってみてください。

#Apple IDに登録していないメールアドレスで同じ操作を行ってみたところ、送信しましたとはなりますが実際には送られてこなかったので、登録していないメールアドレスに送られた人がいるのだとしたら本当に偽装メールの可能性もありますが・・・


とはいえ、メールアドレスとパスワードが別ルートで漏洩していてそれを使用された場合Apple IDが乗っ取られてしまう可能性はあるので心配ならメールアドレスのパスワードとApple IDのパスワードをセットで変更しておくのがいいと思います。

2013/10/24 23:29 まこ♪ への返信

24日に私はちょうどiCloudの設定をしていてAPPLE IDの設定変更をしているときに来たためID、PWを入力してしまいました。


ヤフーのトピックスでフィッシングの件を知り、PWの変更を即座に変更しました。


今後メールアドレス変更、他サイトのアドレス変更と大変です。


自分の甘さにガッカリしています。

これってフィッシングメール?

Apple サポートコミュニティへようこそ
Apple ユーザ同士でお使いの製品について助け合うフォーラムです。Apple Account を使ってご参加ください。