フィッシングメッセージ、偽のサポート電話、その他の詐欺を含むソーシャルエンジニアリングスキームを認識し、対処する

詐欺に引っかからないためのヒントや、疑わしいメールやその他のメッセージを受信したり、そうした電話がかかってきたりした場合の対処法をご案内します。

ソーシャルエンジニアリングは、個人データにアクセスするために、なりすまし、詐欺、巧みな操作を行う標的型攻撃の一種です。この種の攻撃では、詐欺師は電話または他の通信方法を通じて、信頼の置ける企業や団体の代表者のふりをします。詐欺師はしばしば高度な戦術を使用して、サインイン資格情報、セキュリティコード、財務情報などの個人情報を渡すように説得します。

フィッシングはソーシャルエンジニアリングの一般的な戦術の 1 つで、通常はメールであなたから個人情報を取得しようとする詐欺行為を指します。ただし、詐欺師はほかにもいろいろな手口で、情報や金銭を騙し取ろうとしてきます。

• 正規の企業 (Apple など) を装った詐欺のメールやその他のメッセージ.

• デバイスの���キュリティの問題があると伝え、誤導するポップアップや広告.

• Apple サポート、Apple パートナー、その他の有名な、または信頼の置ける団体や個人になりすます詐欺の電話やボイスメール。

• 製品や商品を無料で提供すると謳った偽のプロモーション.

• 迷惑なカレンダー出席依頼や照会カレンダー.

予期せぬメッセージや電話があったり、メールアドレス、電話番号、パスワード、セキュリティコードなどの個人情報や金銭を要求され、疑念を持たれる場合は、詐欺であると推測するのが安全です。必要に応じて、その会社に直接連絡してください。

ご利用の Apple デバイスまたはアカウントのセキュリティ上の問題について懸念される場合は、これらの関連資料により多くの有益な情報が記載されています。

Apple のアカウントやデバイスを保護する方法

Apple のアカウントやデバイスを狙った詐欺に遭わないために、できることをいくつか紹介しましょう。

• パスワードやセキュリティコードなどの個人データやセキュリティ情報を共有したり、誰かが指示する Web ページに入力することに同意したりしないでください。

• Apple ID を守りましょう。2 ファクタ認証を使って日頃から連絡先情報を保護し、最新の状態にしておきましょう。Apple ID のパスワードや確認コードは絶対にほかの人に教えないでください。Apple がサポートを承る際に、この類の情報をおたずねすることはありません。

• Apple Gift Card を使用して他の人に支払いをしないでください。

• App Store や iTunes Store に関して Apple からお送りする正規のメールの見分け方については、こちらの記事を参照してください。Apple Cash で個人間送金をする場合 (米国のみ)、ほかの方法を使って二者間で決済する場合と同様に対処してください。

• Apple 製のデバイスとデータを安全に守る方法については、こちらを参照してください。

• ソフトウェアは、信頼できる配信元からのみダウンロードするようにします。

• 思い当たるふしのない疑わしいメッセージを受け取った場合、本文中のリンクをクリックしたり、添付ファイルを開いたり保存したりしないでください。

• Apple からだと主張する不審な電話やメッセージには応答しないでください。代わりに、公式サポートチャネルから Apple に直接お問い合わせください。

疑わしいメール、メッセージ、通話について報告する方法

• Apple を装った疑わしいメールを受信した場合は、そのメッセージを reportphishing@apple.com に転送してください。¹

• 疑わしい FaceTime 通話 (たとえば、銀行や金融機関を装った電話) がかかってきた場合は、通話情報のスクリーンショットを reportfacetimefraud@apple.com にメールで送信してください。通話情報を調べるには、FaceTime を開いて、該当する偽通話の横にある詳細情報ボタン をタップします。

• FaceTime 通話への疑わしいリンクをメッセージやメールで受け取った場合は、そのリンクのスクリーンショットを reportfacetimefraud@apple.com にメールで送信してください。スクリーンショットには、リンクの送信元の電話番号またはメールアドレスを写してください。

• Apple を装った疑わしい SMS テキストメッセージについて報告する場合は、そのメッセージのスクリーンショットを撮ってメールに添付し、reportphishing@apple.com に送ってください。

• iCloud.com、me.com、または mac.com の受信ボックスに届いたスパムについて報告するには、そのスパムメールを「迷惑メール」に分類するか、iCloud の「迷惑メール」フォルダに移動してください。メールを迷惑メールに分類すると、iCloud メールのフィルタリングを改善し、今後のスパムを減らすのに役立ちます。

• iCloud.com、me.com、または mac.com の受信ボックスに届いたハラスメントやなりすまし、その他の不適切な内容のメールについて報告するには、そのメッセージを abuse@icloud.com に送信してください。

• メッセージで受信したスパムやその他の疑わしいメールについて報告するには、そのメールメッセージの下にある「迷惑メールを報告」をタップしてください。不要なメッセージや電話を着信拒否することもできます。

• 詐欺電話については、連邦取引委員会 (Federal Trade Commission) に reportfraud.ftc.gov で報告するか (米国のみ)、現地の法執行機関 (警察) に通報できます。

ソーシャルエンジニアリング攻撃、フィッシング、その他の詐欺に関する詳細情報

ソーシャルエンジニアリング攻撃の特定方法、フィッシングメッセージの見分け方、詐欺電話への対策、その他のオンライン詐欺に遭わない方法を以下に紹介します。

ソーシャルエンジニアリングの攻撃者は、まずあなたを安心させ信頼を得るために、なりすましと巧みな操作を行います。その後、機微データを引き渡したり、アカウント情報へのアクセスを提供するようにそそのかします。攻撃者は、信頼の置ける会社、団体、またはあなたが知っている誰かになりすますために、さまざまな戦術を駆使します。

ソーシャルエンジニアリング攻撃の標的にされているかどうかを特定する上で、次の兆候に注意してください。

• 詐欺師は、Apple または他の信頼の置ける会社の正規の電話番号と思われる番号からあなたに電話をかけることがあります。これは「なりすまし」と呼ばれます。電話が疑わしいと思われる場合は、電話を切って、その会社の正規の番号と確認できた番号に電話をかけてみることを検討してください。

• 詐欺師は、信頼を築き、その企業に正規に勤める人物であると思わせるため、あなたに関する個人情報に言及することがよくあります。自宅の住所、勤務場所、さらには社会保障番号など、あなたがプライベートな情報と見なす情報に言及する場合もあります。

• 詐欺師はしばしば、あなたが差し迫った問題を解決できるようにサポートしたい、と伝えます。例えば、誰かがあなたの iPhone や iCloud アカウントに侵入した、あるいは Apple Pay を使って不正請求をした、と主張します。すると詐欺師は、あなたが攻撃者を阻止したり、請求を無効にできるように助けたい、と伝えてくるでしょう。

• 詐欺師は通常、考える時間を与え、あなたが自分で直接 Apple に連絡するように思いとどまることがないよう、強い切迫感を作り出します。例えば、詐欺師はあなたが Apple に電話をかけ直すのは自由だが、その間にも不正行為は継続し、あなたが責任を負うことになる、と言います。これは虚偽であり、あなたが電話を切るのを防ぐために企てられたものです。

• 最終的に詐欺師はあなたのアカウント情報やセキュリティコードを要求します。通常、詐欺師は本物の Apple サインインページのように見える偽の Web サイトにあなたをアクセスさせ、身元を確認するように求めます。Apple が、Web サイトにログインしたり、2 ファクタ認証ダイアログで「同意する」をタップしたり、パスワード、デバイスパスコード、または 2 ファクタ認証コードを提供したり、Web サイトに入力したりするように要求することは決してありません。

• 詐欺師は、2 ファクタ認証または盗難デバイスの保護のようなセキュリティ機能を無効にするように求めることがあります。その場合、これは攻撃を止めるため、またはアカウントのコントロールを取り戻すために必要であると主張するでしょう。しかし実際には、詐欺師は自分の攻撃を実行できるように、あなたをだましてセキュリティを下げようとしています。Apple が、あなたのデバイスやアカウントのセキュリティ機能を無効にするようにお願いすることは決してありません。

詐欺のメールやメッセージの見分け方

詐欺師は、正規の企業が配信したメールやテキストメッセージとそっくりな文面を使い、狙った相手から個人情報やパスワードを騙し取ろうとします。フィッシングメールのよくある兆候は以下の通りです。

• 送信者のメールアドレスや電話番号が、正規の会社の名前と一致しない。

• 正規の会社に登録してあるメールアドレスや電話番号とは異なるメールアドレスや電話番号に連絡が来た。

• メッセージ内のリンクが一見正規のリンクに見えるが、URL が正規の会社の Web サイトと一致しない。²

• メッセージの見た目が、正規の会社から届いたほかのメッセージと大きく異なっている。

• クレジットカードやアカウントのパスワードなどの個人情報を要求される。

• 思い当たるふしのな���メールにファイルが添付されている。

疑わしい電話がかかってきたり留守番電話が残っていたりする場合

発信元を偽り、正規の企業 (Apple など) の電話番号を装って電話をかけてきて、アカウントやデバイスで不正行為があったと言って気を惹こうとするのが、よくある詐欺の手口です。お世辞を交えたり脅したりして情報や金銭、さらには Apple のギフトカードを騙し取ろうとする場合もあります。

Apple や Apple サポートを名乗る相手から身に覚えのない電話がかかってきた場合は、電話を切ってください。

詐欺電話については、連邦取引委員会 (Federal Trade Commission) に reportfraud.ftc.gov で報告するか (米国のみ)、現地の法執行機関 (警察) に通報できます。

疑わしいカレンダーイベントが表示される場合

必要のない疑わしいイベント参加依頼をメールアプリやカレンダーアプリで受け取った場合は、iCloud で迷惑メールとして報告できます。スパムの照会カレンダーを意図せず追加してしまっている場合は、削除できます。

Web ブラウザに煩わしいポップアップが表示される場合

Web を見ている間に、無料特典の当選を知らせたり、デバイスにセキュリテイ上の問題やウイルス感染の心配があると警告したりするポップアップ (警告) が表示されても、信じないでください。こうした類のポップアップはたいがいが詐欺の広告で、有害なソフトウェアをダウンロードするよう仕向けたり、個人情報や金銭を騙し取ったりするのが、その本来の狙いです。

特典を獲得できる、問題を解決できると騙った電話番号に電話をかけたり、リンクをクリックしたりしないでください。こうしたメッセージは無視し、単純にそのページから離れるか、そのウインドウやタブごと閉じてください。

ソフトウェアのダウンロードを案内される場合

インターネットからコンテンツをダウンロードする場合は、慎重を期してください。インターネット上のダウンロードファイルの中には、収録していると謳ったソフトウェアが実際には入っていないものや、想定外の不要なソフトウェアが入っているものが一部見つかっています。こうしたアプリの中には、構成プロファイルをインストールするように誘導し、デバイスを支配しようとするものもあります。本来不要な見知らぬソフトウェアをインストールした場合、デバイスに侵入され煩わしいばかりか、Mac が破損し、データを盗み取られるおそれもあります。

特に必要のない、悪意のある偽のソフトウェアの侵入を防ぐため、ソフトウェアは App Store からインストールするか、デベロッパの Web サイトから直接入手してください。Mac でソフトウェアを安全に開く方法についてはこちらの記事、iPhone、iPad、iPod touch から不要な構成プロファイルを削除する方法についてはこちらの記事を参照してください。