そのSMS、その電話は詐欺だ―大手テック企業を騙るメッセージに注意

サイバー犯罪者は、大きく報道される事件、突然の恐怖感、緊急性を好む。先週流れた、「史上最大のデータ漏洩」によって160億件のパスワードが漏洩したというニュースは、まさに彼らにとって格好のチャンスとなった。特に、アップルやグーグルのアカウント、つまり最も価値の高いアカウントに「アクセスが可能になった」とされた点は、攻撃者にとってさらに魅力的だった。

もっとも、アップルやグーグル、マイクロソフト、フェイスブックが新たなデータ侵害を受けた事実はない。今回騒がれている「流出」は、過去の複数の漏えいデータやPC上の情報窃取型マルウェア（インフォスティーラー）経由で集められた情報を寄せ集めたものにすぎない。しかし見出しだけを読んだ利用者は事情を知らず、当然ながら慌てるだろう。

この騒動は、パスワードのみでアカウントを守ることの脆弱性を浮き彫りにした。対処法は、すべてのパスワードをリセットすることではない。アップル、グーグル、マイクロソフト、フェイスブック、アマゾンなど主要アカウントで二要素認証（2FA）を有効にし、可能な限り「パスキー」へ移行することが肝要だ。

■パスワードリセットのリンクやサポート用電話番号には注意

一方で、多くの一般ユーザーが現在、自分のユーザー名とパスワードが上記の侵害されたデータセットに含まれていたかどうかには関わりなく、攻撃のリスクにさらされている。攻撃者はこの先、アップルやグーグル、その他のブランドを装ったメールを送信し、侵害について警告し、関連するニュースやパスワードリセットのアドバイスにリンクするだろう。そして、これらのメールやテキストには、偽物のパスワードリセットのリンクやユーザーサポート用電話番号が含まれている。それこそが攻撃なのだ。

こうしたリンクをクリックしたり電話をかけたりすると、攻撃者はパスワードを盗み、アカウントおよび内部データにアクセスしようとする。実際、アップルやグーグルの利用者を狙い、「アカウントが侵害されたのでパスワードを変更せよ」と偽るメール、電話、SMSが多数確認されている。今回の報道は、攻撃者にとって思わぬ贈り物になったのだ。

大手テック企業が、アカウントのセキュリティ問題やパスワード再設定のために直接連絡することは決してない

■大手テック企業が、アカウントのセキュリティ問題やパスワード再設定のために直接連絡することは決してない

あらためて強調しておこう。アップル、グーグル、マイクロソフト、フェイスブックといった大手テック企業が、アカウントのセキュリティ問題やパスワード再設定のために利用者へ直接連絡することは決してない。そのようなメッセージや電話を受け取った時点で、それは攻撃だ。

グーグルは以前、「グーグルがパスワード再設定やアカウントのトラブルシューティングで利用者に連絡することはないと、読者に繰り返し伝えてほしい」と筆者に要請している。他社も同様である。FBIも「正規のカスタマーサポート、セキュリティ、テクニカルサポート企業が、利用者に対し一方的に連絡を開始することはない」と警告している。

仮にメッセージが本物らしく見えても、削除してから従来どおりウェブや公式アプリでアカウントにアクセスすべきだ。問題があれば正規の手順でパスワード再設定に誘導される――もっとも、偽物のメッセージなので、その必要はまずない。同様に、折り返し電話を求める着信やメッセージにも応じてはならない。正規の手段でアカウントにアクセスしよう。

グーグルとアップルのアカウントは、多数のアプリやサービス、そして生活の鍵を握るスマートフォンへの入り口である。同じ論理で、マイクロソフトやフェイスブックなど他ブランドから届くメッセージも、今回の「流出」報道を口実にした攻撃とみなすべきだ。2FAやパスキーを導入しておけば、新たな漏えいが起きても防御力を高められる。最後に、可能ならばSMSによる2FAは避け、利用可能な別の認証方法を選ぶことをお勧めする。