Apple ID のハッキング。

「iTunes Store」でハッキング被害か…(CNET Japan)という記事。"iTunes Storeは脆弱だ" という話題は定期的に上がってきてはうやむやに…という流れが続いていますな。

個人的にタイムリーだったので、今日はこの話題。

ちょうど今日も届いたのだけれど、Appleさんから数ヶ月に一度くらい、こんなメールがやってきます。件名は『Reset your password or unlock your Apple ID』。

中身は要するに「パスワードをリセットしたり ID のロックを解除するには下のリンクをクリックしてね」というもの。メールヘッダやリンク先のURL(iforgot.apple.com)を見る限り、正真正銘、Appleからの正式なメールのようだ。

で、どんな場合にこのメールが送られてくるのかを試してみた。

(1) Apple IDの管理サイト https://appleid.apple.com/ へアクセス。

(2) 自分の正しい ID を入力。わざと違うパスワードを入力して、サインインを 30 回くらい繰り返す。3回おきに「パスワード忘れたの？リセットする？」とか訊かれるけれど無視。30回連続でわざと間違える。

(3) IDがロックされる。「解除するには iforgot.apple.com にアクセスして所定の操作をしてね」と言われる。

(4) iforgot.apple.com にアクセスして自分の ID を入力 → メール認証 を選択。

これで、登録してあるメールアドレスに上のようなメールが届きます。件名は、言語設定が英語であれば『Reset your password or unlock your Apple ID』、日本語ならば『パスワードのリセットまたは Apple ID のロック解除』となるようだ。

ちなみに、ID がロックされていない状態で iforgot.apple.com からパスワードリセット操作をすると、届くメールの件名は『How to reset your Apple ID password.』または『Apple ID パスワードの再設定方法。』というものになりますね。

つまり Apple から『Reset your password or unlock your Apple ID』という件名のメールが届いたときは、もし自分自身に「ログイン失敗×30」の覚えが無ければ、
という事実が浮かび上がってくるわけです。

おぉ怖。

まあしかし、相手が故意にウチの ID でサインインしようとしたとは断定できないし、いずれにせよお知らせメールはウチのメールアドレスに届くので、直ちに実害は出ないのですが、気分悪いよね。

それから、もし上記のようなメールが届いても、それは巧妙なフィッシングの場合があるかもしれないので、まずは

　　・メールの差出人をヘッダで確認。
　　・リンクを踏む前に、リンク先の URL を確認。

することを忘れないようにしましょうね。

　　→ 続きはこちら。