- ニュース
写真:Jan Vašek/Pixabay CC
iOSで「iTunes Storeにサインイン」を求めるポップアップが突然表示されることは珍しくありません。予期せず表示されることもありますが、通常は正当なものです。しかし、ある開発者は、サードパーティ製アプリでこのポップアップが表示された場合、パスワードを入力しないようユーザーに警告しています。
アプリの開発者があなたのApple IDのパスワードを狙ってフィッシング詐欺を働いている可能性があります。幸いなことに、正規のポップアップとフィッシング詐欺を見分ける簡単な方法があります。
このポップアップは通常、iTunesやApp Storeを閲覧しているときに表示されますが、いつでも表示される可能性があります。表示される理由はいくつかありますが、通常はアップデート後にアカウントを認証するため、またはiOSアプリのインストール中に停止した場合です。
ほとんどの場合、ポップアップは本物であり、特にAppleアプリ内に表示される場合は心配する必要はありません。しかし、開発者のFelix Krause氏は、このポップアップがフィッシングに悪用される可能性があると警告しており、サードパーティ製アプリ内でポップアップが表示される場合は特に注意が必要だと述べています。
開発者がポップアップを表示するのは簡単だ
ポップアップは全く同じように見えますが、フィッシング詐欺の可能性があります。開発者にとって、これを実装するのは非常に簡単です。
「システムポップアップそっくりのダイアログを表示するのはとても簡単です。魔法や秘密のコードは一切使っていません」とクラウス氏はブログ記事で説明しています。「Appleのドキュメントで提供されている例に、カスタムテキストを追加するだけです。」
写真:フェリックス・クラウス
「実際のポップアップコードはオープンソース化しないことにしましたが、コードは30行未満なので、iOSエンジニアなら誰でもすぐに独自のフィッシングコードを作成できるはずです。」
さらに懸念されるのは、開発者が アプリがAppleに承認された後でも このコードを追加できることです。開発者はコードを休止状態にしておき、後からリモートで有効化したり、リリース後に時間ベースのトリガーを使って自動的に有効化したりすることが可能になります。
ポップアップが本物かどうかを見分ける方法
Apple IDのポップアップが本物かどうかは、見た目は全く同じでも簡単に見分けられます。ホームボタンを押してアプリを閉じるだけで、以下のどちらかの反応が見られます。
- アプリが終了し、ポップアップも消えます。これはフィッシング詐欺だったことを意味します。
- アプリとポップアップは画面に表示されたままです。これは正規のシステムダイアログであり、信頼できることを意味します。
自分を守る方法
2ファクタ認証を使用すると、Appleアカウントのセキュリティが強化されます。2ファクタ認証を有効にすると、たとえ不正な開発者がログイン情報を入手したとしても、アカウントにアクセスできなくなります。しかし、多くの人が依然として、様々なサービスで同じメールアドレスとパスワードを使い回しています。
自分を守る最も簡単な方法は、サードパーティ製アプリ内でポップアップが表示されたときに、たとえ上記の手順に従って本物だと確認できたとしても、Apple IDのパスワードを入力しないことです。代わりに、「キャンセル」ボタンをタップしてポップアップを閉じてください。
その後、設定アプリにアクセスし、App Store または iTunes に再度サインインして、アカウントを手動で認証できます。
