- iPhone のメールを開くだけで マルウェア(悪いアプリ)が入ってくることは、まず ありません。
- 確かに、政府機関や大企業など、サイバー攻撃の対象になるような場合は 気をつける必要があります。
- しかし、通常 個人の iPhoneであれば、そのような心配は少ないです。
定期的にアプリの更新をしていれば、対処としては十分です。 - もちろん、迷惑メールは開かないに越したことはありません。
それは、「ウイルスに感染した!」などと嘘の表示をしてくることが多いからです。
ここで慌てて 偽のセキュリティアプリを入れてしまったりすると、それがマルウェアを引き入れることになります。 - 偽サイトでは、パスワードやクレジットカードの番号を入力したり、アプリをインストールしたりしないように、心がけておくことが大切です。
YouTube動画でも話しています。
1. 迷惑メールフォルダにあるメールを見てしまいました
ヤフーメールの迷惑メールフォルダにメールが入っていました。
iPhoneで開いてみると、楽天を騙ってクレジットカード情報を入力させようとするものでした。
ふと、迷惑メールを開くだけでウイルス感染してしまうか不安になりました。
今更ながら開かず、削除すればよかったと後悔しています。
これって、大丈夫ですか?
「迷惑メールを開いただけで、コンピュータウイルスに感染する」と聞くと、メールを開くのも怖くなってしまいますよね。
しかし、実際にメールを開いただけで問題になるのは今では少なくなっています。
むしろ、逆にそういう不安につけこむ攻撃の方が多いです。
「開いただけでウイルスにかかる」とはどういうことなのか、少し具体的に考えてみましょう。
かんたんにコンピュータ ウイルスに感染してしまいそうに感じますよね。
具体的に事例を見てみると、セキュリティの仕組みが防いでいることに気づきます。
1-1. 迷惑メールを開いてしまったけれど大丈夫?
迷惑メールって、開くだけなら大丈夫?
なんとなく不審なメールは、怖いですよね。
確かに、迷惑メールを開かないに越したことはありません。
ただ、現在は 個人で利用する範囲では、「メールを開くだけでウイルス感染する」というのは稀なんです。
1-2. 2種類の「オオカミ」の侵入方法
不正な侵入には、2つのタイプがあります。
- 弱い部分を力でこじ開ける「3びきのこぶた」と、
- 騙して開けさせる「7ひきのこやぎ」です。
インターネットでも同じです。
これには名前がついていて、「ゼロデイ攻撃」と「フィッシング詐欺」といいます。
1-3. 以前は簡単にウイルスに感染した(マクロ)
「メールを開いただけで ウイルスに感染することもあるから、注意しなさい」って聞いたことがあるよ。
インターネットが普及していった 2000年代には、パソコンもメールソフトも セキュリティより便利さを重視して、設計されていました。
それが、自動制御の仕組みです。
例えば、当時 多くの人が利用した outlook express には、メールを開くとプログラムを実行する「マクロ」という仕組みがありました。
本来は「メールを受信したら、自動的にカレンダーに予定を追加する」などの用途が想定されていました。
しかし、これが不正にも利用されてしまいます。
一度実行すると「なんでもできてしまった」からです。
最近では便利さよりもセキュリティを重視するようになりました。
メールアプリが直接操作できる範囲は限定されるようになっています。
「Windows XPがサポート終了」になったり、たびたびパソコンでもスマートフォンでも、大きな更新がありますよね。これは、システムを根っこから改修しているのです。
とくに、スマートフォンはパソコンのあとに作られたので、過去の反省を踏まえて細かく権限を分けて設計されています。
アプリごとに権限を決められているので、以前に比べて 安全性は格段に進歩しています。
今のスマホは、「わらのおうち」から「レンガのおうち」になっているのです。
2. 更新プログラムでどう修正されている?
もちろん、これで万全というわけではありません。
人間が設計するものなので、「抜け穴」ができてしまいます。
しかし、つねに開発者もシステムを点検して、修正しています。
これが「更新(アップデート)」です。
犯罪者はシステムの弱点をついて侵入しますが、最新のシステムの弱点を見つけるのは簡単ではありません。
設計図を持っている開発者よりも、さらにシステムに詳しくないと弱点を見つけることはできないからです。
2-1. 不正なコードメールアプリが起動できなくなるケース(2018年11月)
とはいえ、過去にはシステムの不備が悪用されたケースは少なくありません。
例えば、すでに解決された不具合ですが、iPhoneでも「不正なコードを含むメールを受信すると、メールアプリが起動できなくなる」という事例をみてみましょう。
脆弱性の影響を受けると、メールアプリを開こうとしても即座に終了してしまい、起動することができません
iPhoneやiPadのメールアプリが動かなくなる恐れ。利用者は最新版iOSへの更新を(JVN#96551318)2018年11月05日
これは、電子署名に関する不具合です。
電子署名に不正なコードが含まれると、メールアプリが起動できなくなってしまったのです。
いわばアプリの「紙詰まり」のような現象です。
サイバー犯罪者は、このような不正なコードをわざと混ぜたメールを送って、システムをダウンさせようとするわけです。
2-2. メール受信処理に不具合があったケース(2020年4月)
2020年4月には、もっと深刻な不具合もありました。
こちらは、メールアプリの受信処理の不具合を悪用した攻撃でした。
細工されたメールを受信しただけで、メールアプリが不調になったり、悪用されてしまう可能性がありました。ただ、Appleによれば、実際には被害につながる前に修正されたそうです。
iOS標準のメール機能に、ユーザーがクリックせずともリモートでコードが実行されてしまう深刻な脆弱性が存在 (…)
iOS 12で悪用された場合、メールアプリが一時的に速度低下し、成功/失敗に関わらず突然クラッシュしたりする。(…)
iOS 13.4.5 betaではこの脆弱性が修正されていることがわかっており、配布まではOutlookやGmailといったほかのアプリケーションを利用することで回避できるとしている。(…)
Appleによると、このバグはiPhoneおよびiPadのセキュリティを回避するのに十分ではなく、ユーザーに直接的なリスクを与えるものではないという。
iOSのメール機能に深刻な脆弱性。ゼロクリックでリモートコード実行可能(2020年4月23日)
脆弱性を悪用されること、被害が発生することは別なんですね。何重にもセキュリティがあります。
このような不具合を利用した攻撃は、特定のアプリの利用者にしか効きません。
しかも、まだメールアプリを誤動作(クラッシュ)させただけです。
しかし、スマートフォンの個人情報まではたどり着くには、さらに いくつもの脆弱性を組み合わせないといけません。
3. ゼロデイ攻撃が「少ない」といえる理由
「ゼロデイ攻撃(zero-day attack)」は、セキュリティの不具合が対処される前に悪用するものです。
ですので、防ぐことが難しいです。
しかし、脆弱性は明らかになると、更新によって塞がれます。
複雑な処理の中の単純な確認漏れが原因であることが多いからです。
システム会社がきちんとセキュリティ更新がしてくれているので、ゼロデイ攻撃は少ないのです。
3-1. フィッシング詐欺が多い理由
それに対して、偽の情報を表示をして、パスワードを入力させたり、偽ウイルス除去アプリをインストールさせたりする方法は、よく見られます。
セキュリティをよくわからずに利用している人はまだまだ多く、本人にセキュリティを解除させる方が簡単だからです。
「1000人に一人でも引っかかればよい」、という考え方で、迷惑メールとしてたくさん送信されています。
どんな厳重な金庫でも、本人は鍵を持っています。本人も開けられないようなセキュリティは作れないため、この人間が騙されるという弱点は常にあります。
3-2. 「メールを表示しただけでウイルスにかかる」という表示は多い
詐欺のメールやサイトでは、コンピュータウイルスにかかっていないのに「コンピュータウイルスにかかったので、今すぐウイルス除去ソフトをインストールしなさい」といったメッセージを表示して脅します。
「メールを表示しただけでウイルスにかかる」という不安を悪用しているわけです。
ここで 何もしなければ、被害はありません。しかし、慌てて 指示通り “ウイルス除去ソフト(偽物)” をインストールすると、実際にウイルスにかかってしまいます。写真やデータを削除されてしまったり、勝手にSMSを利用されてしまったりするのです。
フィッシング詐欺対策としては、不審なメールの指示に従わない。
ゼロデイ攻撃対策としては、定期的にシステムを更新する。
コンピュータウイルスは心配ですが、スマートフォンのセキュリティは、日々 メンテナンスされています。
4. 特に安全を重視するメール設定
セキュリティを少しでも強化したい場合は、メールの機能を制限することもできます。
4-1. HTMLメールの画像を表示しない
HTMLメールは、インターネットのウェブページのように表示させるメール形式です。画像やボタンを含めることができます。
しかし、画像の中には不正データが仕込まれている場合もあり、表示しようとするとメールアプリが停止してしまうことがあります。
被害者のスマートフォンを故障させることを目的とする愉快犯もいます。
ただ、利益目的ではないのであまり多くはありません。
そこまで気にしないでもよいと思います。
もし気になる場合は、iPhoneでは、「設定」アプリの「メール」から、「サーバー上の画像を読み込む」を オフ にすることができます。
4-2. JavaScriptをオフにする
JavaScript は、ブラウザを動かすプロラミング言語です。ウェブページでアプリのように動作させるのに広く利用されています。
ブラウザの制限があるので「なんでもできる」わけではありませんが、システムの脆弱性が問題になりやすい機能です。脆弱性と組み合わせて、勝手にソフトがインストールされてしまう例もあります。もし、これらの動作が不安な場合は、設定でオフにできます。
「設定」アプリの「Safari」の「詳細」から、「JavaScript」を オフ にできます。
4-3. とはいえ、最近はオフにしなくても大丈夫
この2つの設定って、オフにしないとダメですか?
一応、オフにできる、というだけで、オンのままにする方が一般的です。
とくに、Javascriptをオフにしてしまうと、動作しないメールも出てきてしまいます。
インターネットで違法な情報を探したり、海外サービスを頻繁に利用したり、ということが多ければ、危険なメールも増えます。しかし、そうでなければ、わざわざ オフ にする必要はないです。
また、オンのままでも、マルウェアがインストールされる際には、必ず「確認メッセージ」が表示されます。
慎重に操作すれば、間違ってインストールすることはないと思いますよ。
ウェブサービスからのメールを表示できなくなってしまうこともあるので、痛し痒しなんです。
こちらもどうぞ。
↑ 不正なアプリは、自分でインストールしてしまうことが多いです。
↑ 実際は こんなふうに騙されます。