2段階認証は意味がない？

2ファクタ認証を設定しているなら、不明なアクセスがあった際に このアクセスを信頼するかどうかのポップが出てくるのですが、出ていましたか。そこで「信頼をする」を押してしまうと不正アクセスを許してしまうことになります。寝ぼけ眼の時間にやられると間違っていつもの通り「信頼する」を押してしまう可能性がありますね。

そもそも 新しいデバイスからのアクセスを許可するかどうかのポップが出てこなかったなら、2ファクタ認証設定がされてないことになります。

2ファクタ認証をすり抜けて勝手に電話番号を追加されることはないと思いますが、フィッシングサイトに入力したと気づいた後はパスワードの変更はされなかったのでしょうか。

Apple ID の 2 ファクタ認証 - Apple サポート (日本)

＞とても眠く記憶が曖昧で...

やっぱり、自分で2ファクタ認証のアクセスを承認してしまっていたんじゃないでしょうか。

デバイスも番号も削除して、PWも変更されたと思いますが、ついでにAppleIDも変更しておいた方が安心ですね。

iphoneの電話は使えますか？

乗っ取りにsimスワップという手法があります。これはあなたの電話番号のsimを偽免許証などを利用して作ってしまう手法です。これをやられるとあなたの電話番号は使えなくなり、確認コードは犯人側に行ってしまいます。偽免許証を作るにしても、正しい氏名と住所が必要ですから、それらの情報もなんらかの手段で抜き取られてることになります。

これを防ぐには、セキュリティキーを利用した2ファクタ認証にする必要があります。

Apple ID のセキュリティキーについて - Apple サポート (日本)

これは物理キーですから、手元に持ってないと認証できませんし、偽物を作るとかできません。

そうでした、確認コードをいれるというトラップがありましたね…

それを入れずに追加できるか？もしかすると知られていないセキュリティホールがあるかもですがあったとしてもここで書くのはNGです。

IDの変更は 今使っているのを別のメールアドレスに変更すればいいです。新規に作成してしまうと 購入履歴とか移行しない＆iCloudデータも別アカウント扱いになるのでややこしいです。

ちなみに、はにさんが書かれていたSIMスワップは、詐欺を働く人がわざわざキャリアでSIMカードを発行させて、旧SIMカードは無効になってしまうそうで、いま電話が問題なく使えるなら それに引っ掛かっていないと考えていいと思います。

ちなみに、追加されていた番号というのは、本当に心当たりがなのでしょうか？連絡先にないか、覚えていたら確認してみてもいいかも。

不明なiPhoneからのデバイスのメールを受け取る前に、2ファクタ認証コードを入力する前のポップが出てきていたのでしょうか？

フィッシングサイトにIDとPWを入力した後、番号が追加されたというAppleからのメールは受け取っていましたか。

過去に修理で一時的に違う番号やデバイスを使っていて、実はずっと前に追加されていたとか、誰か知り合いにiPhoneを使わせて追加されていた、いう可能性はありませんか。