RSSヘッドライン

「Appleサポートです、ロシアから不正アクセスが」——公式番号ぴったりの着信を、信じてしまった…?

「Appleサポートです、ロシアから不正アクセスが」——公式番号ぴったりの着信を、信じてしまった…? 職場

「自分だけは詐欺になんて引っかからない」——そう思っている人ほど、読んでほしい話。パスワードは専用アプリで厳重管理、あらゆるサービスに2段階認証、怪しいメールは鼻で笑うタイプの「機械に強い」投稿者が、たった一本の電話であっけなく崩されかけた。画面に表示されたのは、まぎれもないApple公式の番号だった。

※注:スプーフィング=発信者番号を偽装する手口のこと。電話やSMSの「発信元」表示は、実は簡単に別の番号や会社名に書き換えられる。だから画面に「Apple」と出ても本物とは限らない。また本文に出てくる「認証リクエストの連打(通知爆撃)」は、大量の承認要求を一気に送りつけて相手を疲れさせ、うっかり「許可」を押させる詐欺の常套手段。

何をやらかした?

📌 「機械に強い」を自負する投稿者が、公式番号ぴったりの着信を信じて「Appleサポート」を名乗る詐欺師と通話。本人確認と称して読み上げられた自分の個人情報を、録音回線で全部「はい」と認めてしまった。最後は2段階認証コードを読み上げる寸前で正気に戻り、あと3秒のところで全財産を守り切った。

事の発端

「テックには強い」という自負

投稿者は、家族の中で「機械に詳しい人」を自任していた。パスワードは専用の管理アプリに任せ、あらゆるサービスに2段階認証を設定し、明らかに怪しいフィッシングメールなんて鼻で笑って削除するタイプ。だからこそ、まさか自分が電話一本で詐欺に引っかかるなんて、夢にも思っていなかった。この自負こそが、あとで最大の隙になるとも知らずに。

夜8時、通知が止まらない

事件は昨日の夜に起きた。午後8時ごろ、Netflixを見てくつろいでいたら、突然iPhoneとMacに「パスワードをリセットしますか?」という通知が、数十件も雪崩のように押し寄せてきた。「許可」か「許可しない」を選ぶポップアップが、消しても消しても次から次へと現れる。投稿者は「許可しない」を必死に連打し続けたが、攻撃はいっこうに止まらず、だんだん心臓がざわつき始めた。今思えば、これがすべての入り口だった。

やらかしの一部始終

画面に「Apple Inc.」と表示された電話

通知の爆撃が始まって10分ほど経ったころ、今度は電話が鳴った。画面の発信者番号表示には「Apple Inc.」の文字と、Apple公式サポートの番号がそっくりそのまま出ている。動揺していた投稿者は、迷わず電話に出た。落ち着いたプロの口調の男が言う。「Appleサポートです。ロシアのIPアドレスから、あなたのiCloudアカウントに大量の不正ログインが試みられています。ロックアウトされる前に、今すぐアカウントを保護しましょう」。

「本人確認」で警戒を解かれた

ここで男は、パスワードを一切聞いてこなかった。それが逆に投稿者を安心させた。詐欺ならまずパスワードを聞くはず、という思い込みの裏をかかれたのだ。男は「本人確認です」と言って、投稿者のフルネーム、自宅の住所、登録済みクレジットカードの下4桁を、スラスラと”こちら側”から読み上げてきた。投稿者はつい「はい、その通りです」と、録音されている回線で全部認めてしまった。つまり相手に、この電話番号が今も使われていること、闇で出回っている自分の個人情報が正確であることを、自分の口でお墨付きを与えてしまったわけだ。

あと3秒だった

男はさらに続けた。「攻撃を止めるため、あなたの携帯にワンタイムの『サポートPIN』を送ります。読み上げてもらえれば、こちらでシステムをロックします」。届いたコードのSMS。心臓は早鐘を打っていた。投稿者は数字を読み上げようと、息を吸った——その直前、画面のメッセージの中身にようやく目の焦点が合った。それは「サポートPIN」なんかではなかった。Apple Payを別の端末に移す操作を承認するための、2段階認証コードだったのだ。読み上げていたら、乗っ取りを自分の声で「承認」したことになっていた。投稿者は凍りつき、一瞬で状況を悟って、無言で電話を切った。

その後

もしあの6桁を口にしていたら、男は2段階認証を突破してApple Payを乗っ取り、口座を空にし、「探す」機能を使ってMacもiPhoneも遠隔で初期化していただろう。想像するだけで血の気が引く。投稿者はその夜、ほとんどパニック発作のような状態のまま、クレジットカードの利用を凍結し、銀行口座をロックし、持っている全アカウントのパスワードを片っ端から変更した。「テックに強い」という自負は木っ端みじんに砕けたという。それでも、失ったものは何一つなく、守り切ったのは事実だ。恥を忍んでこの体験を書き残したのは、次に同じ電話を受ける「誰か」のためだった。

海外の反応

1. やらかし名無しさん
Appleがこちらに電話をかけてくるのは、公式サイトから自分でサポートを依頼したときだけ。それ以外の「Appleからの着信」は全部疑っていい。これは投稿者のためというより、この記事を読んでる他の誰かのために書いておくよ。

2. やらかし名無しさん(>>1への返信)
Appleに限った話じゃなくて、どこの会社もだいたい同じ。向こうから急に電話してきて、緊急だと煽りながら情報を聞き出そうとしてきたら、まず詐欺を疑うくらいでちょうどいい。

3. やらかし名無しさん(>>1への返信)
たとえ本物でも、一度切って、自分から公式番号にかけ直す。この一手間だけで9割は防げる。急かしてくる相手には、この「かけ直し」がいちばん効く。

4. やらかし名無しさん
危機一髪だったね。あと3秒で人生詰んでたと思うと、読んでるこっちまで背筋が寒くなる。よく最後の最後で画面を見直せたな…その一瞬が生死を分けたよ。

5. やらかし名無しさん
自分も去年、司法省を名乗る電話に引っかかった。「職員バッジ番号」まで言われて、実際に調べたら実在の番号で、目の前の相手を本物だと信じ込んでしまった…。授業料はおよそ45万円。もっと取られてもおかしくなかった。今はもう、知らない番号には出ない主義。

6. やらかし名無しさん(>>5への返信)
番号偽装のタチが悪いのは、必ずしも「知らない番号」として表示されるわけじゃないところ。相手があなたの親の名前を知っていれば、着信画面に親の名前で出させることだってできる。だから表示は信用の根拠にならない。

7. やらかし名無しさん(>>5への返信)
それだよ。自分は10代でスマホを持って以来ずっと、知らない番号には出ない。大事な用なら留守電を残すかSMSが来るはず。おかげで詐欺に近づいたことすらない。すごくシンプルな話。

8. やらかし名無しさん
この発信者番号の偽装、いい加減どうにかしてほしい。技術的には対策できるはずなのに、なんで放置されてるんだろう。被害者が増える一方じゃないか。

9. やらかし名無しさん(>>8への返信)
残念だけど当分終わらないと思う。インターネット回線を使う電話(IP電話)だと、発信者情報を書き換えるのが技術的に簡単すぎるんだ。もともとは正当な用途のためにある仕組みで、「誰からの電話か」を照合する安全装置が最初から組み込まれてなかったのが根っこの問題。

10. やらかし名無しさん
むしろこの形で気づけたのは不幸中の幸いだよ。相手が握ってたデータ(カード番号の一部とか)は、あなたが警戒し始めた今この瞬間から、全部「古い情報」になった。パスワード管理アプリで一つずつ作り直せば、連中の手持ちはもう価値ゼロだ。正しい対処をしてる。

11. やらかし名無しさん
自分も数年前、銀行を名乗る電話で「口座がハッキングされました」と言われた。旅行中で慌てて路肩に停めて…ユーザー名を聞かれた瞬間になんとか切れた。でも、あの緊急感の演出は本当に巧妙なんだよ。冷静なときなら絶対気づくのに、急かされると頭が真っ白になる。

12. やらかし名無しさん
こういう話をちゃんと書いてくれる人、素直に尊敬する。誰だって騙されうるのに、「馬鹿だと思われたくない」って恥ずかしがって黙る人が多い。その沈黙こそが、みんなが他人の失敗から学ぶ機会を奪ってるんだよね。

13. やらかし名無しさん
銀行から電話が来たとき「念のため一度切って、自分からかけ直します」って言ったら、相手が「賢明ですね」って戻る先の内線番号まで教えてくれた。結局その電話は本物だったけど、かけ直しても誰も怒らなかったよ。

14. やらかし名無しさん(>>13への返信)
逆に言うと、かけ直すって言った瞬間に必死で引き止めてきたら、そこで詐欺確定でいい。本物の銀行や会社に、数分すら待てないほど緊急な用件なんて存在しないから。この見分け方は覚えておいて損はない。

15. やらかし名無しさん
銀行のコールセンターで働いてる。本人確認を始めると「番号を確かめずにSMSに載ってた番号へかけちゃった」って気づいて、途中で会話をやめるお客さんがけっこういる。全然気にしてないよ。100人に疑われる方が、たった1人のお客さんが騙されるよりずっといい。不安ならいったん切って、カード裏の番号にかけ直してくださいって毎回伝えてる。

16. やらかし名無しさん
これ、詐欺被害を共有する専門の掲示板にも転載した方がいい。同じ手口はこれからも量産されるから、注意喚起は一人でも多くの目に触れた方が絶対にいい。

17. やらかし名無しさん
詐欺師がうちの祖母(今は亡き)に、孫を装って電話してきたことがある。祖母の返しが最高でさ。「あんた、うちの孫じゃないね。言葉がはっきりしすぎてて、全部聞き取れたもの。さようなら」。おばあちゃんの一言、地味だけど効くんだよ。

18. やらかし名無しさん(>>17への返信)
笑った。うちにも早くかかってこないかな。「また覚醒剤で捕まったの?今度は身代金なんて出さないからね、ヘンリー!」って言い返してやりたい(ちなみに孫はいない)。

19. やらかし名無しさん
すごくいい注意喚起。土壇場でよく気づいたと思う。ナイスキャッチだよ。これを読んで「自分も同じことしたかも」って背筋が伸びた人、きっとたくさんいる。

20. やらかし名無しさん
ちなみにパスワード管理アプリは、危険どころかむしろ安全側の道具だからね。中身は暗号化されてるし、サイトごとに強いパスワードを自動生成してくれる。全部を頭で覚えて使い回すより、何倍も安全。詐欺と管理アプリを一緒くたに怖がらなくて大丈夫。

まとめ

「自分は大丈夫」という自負がいちばんの隙になる——それを痛いほど教えてくれる一件だった。発信者番号の表示は簡単に偽装できるし、緊急感で急かして冷静さを奪うのが詐欺の常套手段。海外の反応も投稿者を責めるより「誰でも引っかかりうる」「よく気づいた」という共感が大半で、そこに「向こうから来た電話は一度切って、自分から公式番号にかけ直す」という具体的な護身術が繰り返し語られた。あと3秒の話は、他人事ではない。

元ソース: 発信者番号を信じて、偽「Appleサポート」に脅され個人情報を渡しかけた話