これってフィッシングメール？

そうですね。Appleは対策すべきでしょう。根本原因はメールアドレスをIDにしているシステムが間違っているからなので。

そうかなぁ。

ログインIDを別途任意の文字列にした所でApple IDの主要連絡先メールアドレスを設定しているのであれば結果は同じ事だと思う。

Apple IDの主要連絡先メールアドレスを設定しないシステムは現実問題として不可能ですよね。ID自体がメールアドレスであるか否かに関係なく、IDに対応するメールアドレスが存在する以上この手の詐欺は避けられないです。

インターネット上のサービスにサインインするIDを作成する場合、個人情報を紐付ける事無く個人を特定できる方法を開発できればそれだけで特許が取れるかも？。

確かにご指摘通りです。IDで登録しても、パスワード再設定でメアドを入力させるシステムではだめですね。IDに紐づいた主要メアドの登録はシステム上の任意ですが、必要な登録かなと思いますので、それは仕方ないと思います。

そのため、最近では「ID」は任意の文字列（できればシステムが発行した文字列）で登録させておき、パスワード再発行は「秘密の質問」と「生年月日」を組み合わせ、メールアドレス自体は再設定時に入力させないシステムが主流になってきているようです。

そうだとしても、IDと紐づいたメールアドレスは存在しますよね。そのメールアドレスに対してランダムに送られた詐欺メールが届いた場合は、騙される人は一定数いるでしょうって話なのですよ。

メールアドレスをweb上で入力するか否かの問題ではなく、IDに対応したメールアドレスが存在する以上どうしても詐欺メールは届いてしまいます。そして一定数のユーザは詐欺メールと気がつかないままリンクを踏んでしまうのですよ。

そういった意味ではログインIDがメールアドレスだろうが任意の文字列だろうが誤差の範囲でしょう。

今回は詐欺メールに関してのトピックスです。これがユーザのタイピングを盗む事を前提としたトピックスであればNo-Delayさんの話も一理あります。

詐欺メールの話ならおっしゃるとおりだと思います。今回の件はメール自体は本物だったので、メールアカウント自体がハッキングされるとAppleIDと同様のシステムなサービスも同時にハッキングされることに問題があります。そのため、パスワード再発行は「秘密の質問」と「生年月日」を組み合わせ、メールアドレス自体は再設定時に入力させないシステムであれば再設定メールすら送れないことになるのでセキュリティは向上するのではと考えています。

通常はメールアドレスとApple IDにサインインするパスワード両方がそろわないと乗っ取られませんよね。Apple IDの主要メールアドレスがわかっただけでは乗っ取りは成功しません。敵がユーザの個人情報をつかんでいる場合はそれをヒントにパスワードを試していくでしょう。しかし一般的にはランダムに狙ってくるはずですからパスワード解析等のツールを使ってランダムに襲ってくるはずです。他のサービスとパスワードを異なる物に設定したり、大文字小文字記号をランダムに加えたりする事でアタックの成功率を下げる事が出来るはずです。

パスワードをリセットする場合、Apple IDの主要メールアドレスを入力して主要メールアドレス宛にその旨のメールが送られるシステムですよね。そのメールのリンク先にアクセスしてリセットを行います。これで乗っ取られるという事は当該メールアカウント自体が乗っ取られているという事ですよね。No-Delayさんはこの件を指摘していらっしゃるのだと思います。でもこれってユーザ側が対処しないとどうしようもないかも。

セキュリティと利便性は相反する物です。セキュリティを高めれば高めるほど利便性は低下していきます。ですのでどのあたりで折り合いを付けるのか難しい問題ですね。

もし現状以上の妙案がある場合はぜひともフィードバックしてみてください。ユーザの声が多ければ採用されるかもしれません。

アップル - フィードバック - Apple

ご意見ありがとうございます。いただいたご意見を反映してブログにも詳しく書くことができました。お礼申し上げます。今回の件、ユーザ側の対処が一番大事なことだと思います。スレ主の方にもぜひパスワード変更はお薦めしたいと思っています。

詐欺メールに関しては草の根運動が大事だと思います。知っている人は絶対に引っかからないのですよね。引っかかる人はそれを知らない人ですので如何にして最低限の情報を知らない人に対して広めていくかが大事ですね。

このあたりはオレオレ詐欺対策と似ているかも。

＊一部編集させていただきました。Apple Inc.

ブログURLをProfileに記載しておきました。

＊一部編集させていただきました。Apple Inc.

登録名を変えてもなお、変更後の名前で届くあたり、やはりapple社のサーバーに何者かが侵入、もしくは不正メール送信のプログラムを仕込んで不特定多数にメールをappleのメールサーバーから送信するようにしているかもしれませんね。

Apple社のサーバに侵入しなくとも、メールアドレスさえあればこのメールは送ることができます。

10/18 フィッシングメール？　が届きました。: Apple サポートコミュニティ

試しに、そのメールが送られてきたメールアドレスを使ってEメール認証を行ってみてください。

＃Apple IDに登録していないメールアドレスで同じ操作を行ってみたところ、送信しましたとはなりますが実際には送られてこなかったので、登録していないメールアドレスに送られた人がいるのだとしたら本当に偽装メールの可能性もありますが・・・

とはいえ、メールアドレスとパスワードが別ルートで漏洩していてそれを使用された場合Apple IDが乗っ取られてしまう可能性はあるので心配ならメールアドレスのパスワードとApple IDのパスワードをセットで変更しておくのがいいと思います。

24日に私はちょうどiCloudの設定をしていてAPPLE IDの設定変更をしているときに来たためID、PWを入力してしまいました。

ヤフーのトピックスでフィッシングの件を知り、PWの変更を即座に変更しました。

今後メールアドレス変更、他サイトのアドレス変更と大変です。

自分の甘さにガッカリしています。