マルウェアやハッキング行為などテクニカルな話題が目を引きがちだが、情報漏えい事件の多くが内部不正行為に起因し、フィッシングメールによるクリックなど単純な仕掛けによる権限譲渡が大きな損害へとつながっていく。これらの多くがコンピューターと使用者を堅く紐付けるIDとPASSという認証の仕組みを奪うことによってもたらされる。IDやPASSを他人に渡すことが危険であることは直感的に理解できるものだが、他人のIDやPASSを自身の端末に入力することも危険であることをKaspersky LabがAppleデバイスを例に紹介している。
1年間大切に使った「iPhone X」を売ることにしたMarcieはeBay、次にCraigslistに広告を出すことだった。使用期間は1年でまだ状態は良いため望みを高く設定。驚いたことに、次の日に買いたいと言う人が現れる。買い手である女性からMarcieは、"自分の夫がiPhoneを欲しがっているが、多忙なため、その週の週末まで寄ることができない"という丁寧なメッセージを受け取った。だが、是非とも買いたいので、先に代金を払ってあとで取りに行くと続いていた。合わせてこの女性は、iPhoneの状態が本当に完璧かどうかを確認するために、夫のApple IDをデバイスに入力するよう求めた。確認できれば、すぐに支払うという。少なくとも数週間は買い手が見つからないと思っていたMarcieはたった24時間後に完了するため喜んだ。
買い手である女性は夫のApple IDとパスワードをメールで連絡してきた。知りもしない自分に機密情報を簡単に送ってきたことを少々不思議に思ったMarcieだったが自分が機密情報を開示したわけではない。早速自分のiPhoneに入力し、その女性に"チェックできる状態が整った"と伝えたという。すると、想像もしなかったことが起こった。iPhone画面に、デバイスがブロックされたというメッセージが表示され、ロック解除のためにはxxxというメールアドレスの人物がコンタクトしなければならないという。この状態では何もできない。iPhoneはブロックされてしまったのだ。Marcieは女性にメッセージを送ったが返事はない。そこで、xxxというメールアドレスにメールを送ったところ、ロック解除してほしいなら、仮想通貨でそれなりの額を送金せよというメッセージが返ってきた。
デバイスを失ったわけではないが他人のApple IDを入力した瞬間に、自分のものであるはずの端末はその人物のものとしてiCloudで管理可能になってしまう。本当は便利な機能であるはずが、悪意ある目的で使うことができるのだ。現に、サイバー犯罪者がこの機能を利用してiPhoneとiPadをブロックし、身代金を要求するというケースは多いようだとKaspersky Labは指摘している。また、ソーシャルエンジニアの手法としてはこの他にも、Appleが関連したフォーラムのユーザーと仲良くなり、"自分のiPhoneが使えなくなった。上司に連絡しなければならないが、連絡先はiCloudにある。助けてくれないか"などと言ってApple IDの入力を求めるというケースがあるという。IDやPASSは、デジタル的に使用者を決定しているに過ぎない。そのIDの背後にいる人が必ずしも善意の人でない場合があることを知っておく必要がある。
