iPhoneに不審なカレンダーなどが表示される報告が相次ぐ
人気のスマホブランドとして国内でも大人気のiPhoneですが、このカレンダーに不審な表示が発生する報告が相次いでいます。
今回は、iPhoneのiCloudカレンダーを狙った攻撃の内容や具体的な対策、個人情報の漏洩全般への対策について解説します。
本稿は、今日の10分セキュリティラジオの放送を加筆修正したものです。
iPhoneで発生している不審なカレンダー表示とは?
情報処理推進機構(IPA)が発信している「安心相談窓口だより」では、2020年1月から3月にかけて、iPhoneのカレンダーに不審な表示や通知が届くといった被害が報告されているとして注意喚起を呼びかけています。この不審な表示は2021年1月現在も確認されており、具体的には、
- iPhoneのカレンダーから、ウイルス感染しているという通知が出る
- iPhoneのカレンダーに、身に覚えのないイベントが入っている
といった相談が寄せられています。
iPhoneの仕様を狙った攻撃で、URLをタップさせ個人情報を盗む
iPhoneではiCloudカレンダーの機能を利用することで、イベントや予定を素早く同期することができます。
GoogleやOutlookなどのカレンダーにも同様の機能が用いられていますが、今回の攻撃ではこの仕様を逆手に取り、まずユーザーのiPhoneに身に覚えのないイベントや不安をあおる通知を表示。そこに記載されたURLをタップすることで不審なサイトへ誘導し、不正なウイルス対策ソフトのインストールや、メアド・電話番号・クレジットカード情報といった個人情報を入力させ、マルウェアへの感染や情報を盗み出すといった攻撃を仕掛けます。
この手口が巧妙な点は機能の脆弱性を狙うのではなく、あくまでもiPhoneの仕様を逆手に取って攻撃を仕掛けていること。ウェブサイトやメールアドレスから手軽にカレンダーに同期できる利便性を突いた悪意ある手法といえます。
被害を受けないための対策は?
カレンダーに身に覚えのないイベントが登録されただけでは、スマホが乗っ取られる・ウイルスに感染するといった恐れはありません。あくまでも不安をあおり、そこに記載されているURLをタップさせることが狙いです。
そこで対策としては、身に覚えのないイベントやカレンダーの通知は削除し、スパムとして報告を行いましょう。間違ってURLからアプリのインストールや情報の入力を行うと、セキュリティ被害にあう恐れがあります。
不安を覚えパニックになってしまいますが、こうした攻撃手法があることを理解しておけば、冷静に対処することができるでしょう。
個人情報の漏洩後はセキュリティ被害が増えるの?
さて、今回のiPhoneを狙った攻撃に関わらず、個人情報を狙った攻撃は後を立ちません。ニュースなどでは個人情報が漏洩したといった話題を見聞きしますが、やはりこうした漏洩が起きた後はセキュリティ被害が増加するのでしょうか?
ネット上のセキュリティ被害が増える可能性は高い
結論から述べると、大規模な個人情報の漏洩後は、ネット上でのセキュリティ被害や事件が増える可能性は高いといえます。
とくに多いのが、リスト型攻撃と呼ばれる手法です。リスト型攻撃とは、何らかの形で流出していたユーザー名とパスワードを利用してWebサイトにログインする手法です。正しい情報を利用してサイトにログインし不正利用するため、対策が難しく、ECサイトやクレジットカードからの身に覚えのない請求などから発覚するケースが多く見られます。
今回のiPhoneのケースも、事前に何らかの形で流出したメールアドレスがきっかけの被害と考えられます。
対策としては、複数のサービスでユーザー名やパスワードを共有しなといこと。同じユーザー名やパスワードを使用しないことで、個人情報が漏洩した際のリスクを抑えることができるでしょう。
企業側は個人情報が流出した前提での対処も必要
また、個人情報を管理する企業側は「個人情報がすでに流出している」という前提に立った対策も必要です。
漏洩した個人情報はダークウェブと呼ばれる不正なサイトで売買されることが少なくありません。大手の企業ではこうしたサイトを日々チェックし、自社に関連する個人情報が流出していないか検索して監視しています。
万が一個人情報が流出していた場合に、1秒でも早く被害を喰い止めることが目的です。大量の個人情報を扱う現代だからこそ、企業ではこうした前提に立った対策を行うことも必要でしょう。
まとめ
今回は、iPhoneに不審なカレンダーなどが表示されるというニュースを取り上げながら、攻撃の内容や対策について解説しました。
iPhoneのカレンダー機能の仕様を狙った今回の攻撃は、サービスの脆弱性を狙っていないため狡猾で被害に繋がりやすいといえます。カレンダー機能に身に覚えのないイベントやカレンダー通知が表示された場合は、通知や予定を削除してすぐにスパム報告を行いましょう。
通知内に記載されているURLをタップしなければ、被害は発しないため落ち着いて対処することが大切です。