最近米国で、窃盗団がバーなど公の場でiPhoneユーザーのパスコードを見た後にデバイスを奪い取り、金融アプリ等から資産を根こそぎ盗み取る事件が多発していると報じられていた。

その続報としてThe Wall Street Journal（以下「WSJ」）が、本来はセキュリティを強化するはずの復旧キーによって、Apple IDから永久に締め出された被害者も出ていると指摘。それに対するアップルの返答も合わせて伝えている。

iPhoneのTouch IDやFace IDといった生体認証を突破することは極めて難しいが、実は非常に単純な脆弱性がある。「パスコードを盗み見る」ということだ。短い数字の羅列に過ぎないパスコードとiPhoneを両方持っていれば、泥棒は被害者のApple IDパスワードを簡単にリセットできる。その後「iPhoneを探す」をオフにすることで、本来の持ち主が位置を追跡したり、リモートでデータを消去することもできなくなる。

今年2月にWSJは、バーで知り合ったばかりの男にiPhone 13 Pro Maxをひったくられ、数分のうちにApple IDにまつわる全て（写真や連絡先、メモなど）にアクセスできなくなり、24時間以内に銀行口座から約1万ドルが消えた事件を紹介していた。これは一例に過ぎず、ニューヨーク市だけでも過去2年間に何百件も発生しており、「ひとたびiPhoneの中に入れば、宝箱のようなものだ」との元刑事の言葉も伝えられていた。

今回の報道では、盗まれたiPhoneを使って復旧キーを生成、あるいはリセットするやり口に焦点が当てられている。復旧キーとはランダムに生成される28文字のコードで、パスワードをリセットする際や、Apple IDを復旧する際に使うものだ。

実際アップルは公式サポート文書で、信頼できるデバイスや復旧キーを両方ともなくしてしまうと「アカウントから完全にロックアウトされてしまう可能性」があると警告している。

逆にいえば、泥棒が両方を同時に奪っていった場合、本来のユーザーは何もなすすべがない。若者で賑わう深夜のバーで、泥棒が被害者と親しくなり、パスコードを明かすように仕向ける事態は想定されていないのである。WSJによれば、身体的暴行を受けたり脅迫されて、iPhoneやパスコードを渡したという人もいるそうだ。

この報道を受けて、アップルは「今回のような新たな脅威に対する追加の保護を、常に調査している」と回答している。さらに「このような経験をした人々に同情し、どんなに稀なことであっても、我々のユーザーに対する全ての攻撃を非常に真剣に受け止めている」とも付け加えている。

アップルが対策を講じるとしても、それまでユーザーが悠長に待っているわけには行かないだろう。WSJはパスコードを4ケタの数字から、泥棒が覚えるのが難しい英数字に切り替えることを推奨している。これは設定アプリの「Face IDとパスコード」>「パスコードを変更」で行える。

そのほか、自分自身にスクリーンタイム+ペアレンタルコントロールを使う方法も紹介されている。日常的には使いにくくなりそうだが、全財産を失うリスクを考えれば受け入れるべきかもしれない。