パスコードをのぞき見られたiPhoneが盗まれ銀行口座に不正アクセスされる犯罪が報告されている
iPhoneをはじめとするスマートフォンではパスコードを設定することで、端末を紛失したり盗まれたりしても見知らぬ人に端末を勝手に操作されることを防ぐことができます。しかし公共の場所でスマートフォンを使用するためにパスコードを入力することは、スマートフォンの盗難やデータの流出につながることが指摘されています。
A Basic iPhone Feature Helps Criminals Steal Your Entire Digital Life - WSJ
Recent iPhone thefts highlight the danger of using passcodes in public - 9to5Mac
https://9to5mac.com/2023/02/24/iphone-passcode-in-public-dangers/
Apple Responds to Report About Thieves Spying on iPhone Passcodes to 'Steal Your Entire Digital Life' - MacRumors
https://www.macrumors.com/2023/02/24/iphone-stolen-passcodes-report/
ウォールストリートジャーナルがアメリカでiPhoneの盗難被害に遭った被害者にインタビューを行なったところ、多くの被害者全員が「夜間にバーやその他の公共の場所にいるときにiPhoneを盗まれました」と回答しました。一部の被害者は盗難の際に暴行や脅迫を受けたことを報告しています。
以下の動画はウォールストリートジャーナルによるiPhoneの盗難被害の実態を示したビデオです。動画の中では、iPhone盗難の手口や体験談、盗難への対策が解説されています。
Apple’s iPhone Passcode Problem: Thieves Can Ruin Your Entire Digital Life in Minutes | WSJ - YouTube
iPhoneのパスコード入力画面を窃盗犯にのぞき見られていた場合、簡単にApple IDパスワードや「iPhoneを探す」などが解除されてしまいます。
iPhoneにパスコードを入力する瞬間を窃盗犯にのぞき見られていた場合、顔認証システムのFace IDや指紋認証システムのTouch IDが有効になっていたとしても、簡単に端末のロックを解除されてしまいます。その結果、Apple IDのパスワードの変更や「iPhoneを探す」などを解除されるという二次被害にまでつながる危険性があります。
さらに窃盗犯にiPhoneのパスコードを知られていた場合、パスコード1つで複数のパスワードを一括管理することが可能なiCloudキーチェーン経由で銀行口座にアクセスされる可能性もあります。また、iCloudキーチェーンにアクセスされた場合、被害者の個人情報や機密情報などが流出するおそれがあります。そのため、ウォールストリートジャーナルはiPhoneを盗むことで「被害者のデジタルライフ全体を盗むことができます」と述べています。
これらの窃盗犯は基本的に複数人で活動することが多く、1人は被害者の気をそらし、もう1人はパスコード入力画面をのぞき見る役割を担います。iPhoneの集団窃盗で摘発されたミネソタ州の犯罪組織は、12人の構成員が40人からiPhoneを盗み出しており、被害総額は約30万ドル(約4000万円)にものぼると報告されています。
窃盗犯の手口としては、暴力や脅迫によってパスコードを聞き出すほか、友好的に対象者と会話を行ないます。その際iPhoneを取り出しロック解除のためにパスコードを入力するよう対象者を誘導します。対象者がパスコードの入力が不要なFace IDやTouch IDなどでロック解除を行なった場合、窃盗犯は「写真を見せて」などと要求し、こっそり電源をオフにして対象者に返却します。iPhoneは再起動後のロック解除にパスコードの入力が必要なため、その際に入力画面をのぞき見るとのこと
これらの報告を受けてAppleの広報担当者は「私たちは盗難の被害に遭ったユーザーに同情し、ユーザーに対するすべての攻撃を非常に深刻に捉えています。ですがこのようなケースは珍しく、本来ユーザーのデバイスを盗むだけでは不十分です」「ユーザーのアカウントを安全に保つために、引き続きiPhoneのセキュリティ保護を進めていきます」と述べています。
ウォールストリートジャーナルはiPhoneのセキュリティ向上のために「可能な限り公共の場ではFace IDやTouch IDを使用する」「パスコードを入力する必要があるときは画面を隠して入力する」「4桁または6桁のパスコードから、カスタム英数字のパスコードに切り替える」「銀行口座のような機密性が高いパスワードには、パスコードを含まない1Passwordなどのパスワードマネージャーを使用する」ことを推奨しています。