スマホから情報漏洩､偽SMSの罠にご注意を！社用iPhoneの不正アクセスを"仕組みで防ぐ"対策とは？ Apple･宅配業者をかたる事案が多発

フィッシングやスミッシングは、宅配業者やカード会社、証券会社を装うものに加え、Appleアカウントをかたるケースも増えている。フィッシング対策協議会では、2025年3月5日付でAppleをかたるフィッシングの報告が増えていることへの注意喚起を公開している。

（出所：フィッシング対策協議会「Appleをかたるフィッシング」）

具体的には、「お客さまの安全を確保するための手続き」「サブスクリプションの有効期限」などの通知を装って偽の公式サイトに誘導し、Apple IDとパスワードの入力を促すものが報告されている。

誘導先の偽サイトも巧妙に作り込まれており、ユーザーは本物のサイトと気づかずに入力してしまう可能性が高い。「iPhone宛てにSMSで送られてくる」ことや、その内容がAppleのアカウントや契約に関するものであることから、ユーザーは本物と誤認しやすくなる。

手口が巧妙化するなか、フィッシングやスミッシングの対策を注意喚起だけで終わらせるのはリスクが大きい。

では、もしSMS経由で届いたメッセージから偽サイトにAppleのアカウント情報を入力してしまった場合、具体的にどのような被害が起こりうるのだろうか。

Appleアカウントのメールアドレスとそれに紐付いたパスワードを入力してしまえば、iCloud Webからアクセスが可能な連絡先や写真、iCloudに保存したデータなどは取得が可能になる。

つまり、取引先担当者や顧客の連絡先を業務用のiPhoneに登録していれば、それらの情報が漏洩してしまう可能性が高い。また、iCloudに業務データを保存しているなら、それらも危険にさらされることになる。

一方で、Appleキーチェーンに保存したパスワードなどの情報は、エンドツーエンド暗号化（E2EE）という仕組みで守られており、アクセスにはユーザーのデバイスに表示されたパスコードを入力する必要があるため、アカウント情報だけを盗まれてもすぐに漏洩する可能性は低い。

詐欺メールの見分け方は

たった1つのアカウントの被害が、会社全体に影響をおよぼす可能性がある。とはいえ、注意喚起だけでは限界がある。そこで必要となるのが社用スマホを安全に運用するための“仕組み”だ。