水曜日にリリースされたiPhone 3.1アップデートで導入された機能の一つに、Safariにひっそりと追加されたフィッシング対策機能があります。この新機能は「設定」→「Safari」の「詐欺警告」スイッチで、今回のアップデートでデフォルトで有効になります。
Appleは昨年3月にiPhone 3.0を発表した際にこの機能について簡単に触れましたが、6月にリリースされたアップデートでは実現しませんでした。残念ながら、3.1での実装はまだ一般公開には至っていない可能性があります。
セキュリティ企業Integoは、個人情報を悪意を持って悪用するサイトにアクセスした際に警告を表示するはずのフィッシング対策機能が全く機能していないと報告しています。セキュリティ企業Zscalerもこの評価に同意し、警告を表示させることができなかったと述べています。
しかし、問題はこれです。時々はちゃんと動作するのです。既知のフィッシングリンクをいくつか試してみたところ、案の定、画像のような警告が表示されました。しかし、同僚と複数のiPhoneとiPod touchを異なる場所で携帯電話とWi-Fiの両方に接続して徹底的にテストしたところ、この機能には大きなばらつきがあることが判明しました。デバイスによっては警告が表示されるのに対し、別のデバイスでは同じサイトが問題なく読み込まれるのです。同じデバイスでも、読み込まれたり読み込まれなかったりすることがありました。システムに大きなバグがあることは明らかです。
一貫性のない保護は、多くの点で全く保護がないよりも悪いです。なぜなら、ユーザーはレンガの壁の向こう側なら完全に安全だと思い込んでしまうからです。残念ながら、その壁はビーズカーテンのようなものかもしれません。(Safariに組み込まれているようなデスクトップのフィッシング対策が完璧だと言っているわけではありませんが、確かに役に立ちます。)
これは、ここ数週間でAppleがセキュリティソフトウェア分野に参入した最初の弱腰な試みではありません。同社は最近リリースされたMac OS X Snow Leopardにマルウェア対策システムを導入しましたが、このシステムは既知のMacマルウェアのうち、ごく限られた数しか検出できません。
モバイル版のフィッシング対策が不十分だとしてAppleだけを責めるつもりはありませんが、Appleがこのシステムを改善する必要があるのは明らかです。Googleも同様に対策を怠っています。iPhoneのSafariでデフォルトで表示されるモバイル版のサイトは、標準のデスクトップ版と同じ保護機能を備えていません。MacBookでGoogleが潜在的に危険とフラグ付けしたリンクは、iPhoneではそのような処理は行われず、問題なく読み込まれました。しかし、Googleのページを一番下までスクロールして「クラシック」(つまりデスクトップ)表示に切り替えると、確かにフラグ付けされていました。
これら2つの機能の組み合わせ、あるいはその欠如は、iPhoneユーザーがフィッシング詐欺からほぼ無防備であることを意味します。現時点では、懸念のあるiPhoneユーザーにとって最善の対策は、リンクを長押しして正しいURLを表示するシートを表示し、リンクを精査することです。常に、疑わしいリンク、特にアカウント情報の更新を促すメールにはアクセスしないなど、安全なブラウジングを実践することが重要です。
Appleは今週の音楽イベントで、iPhone OSを搭載したデバイスが5000万台以上あることを発表しました。これは、非常に多くの人がこれらのデバイスでウェブを閲覧していることを意味します。モバイルブラウジングをデスクトップブラウジングと同等の安全性に近づけるためには、AppleとGoogleの両社には多くの課題が残されています。
iPhone 3.1 の新しいフィッシング対策機能について、ご自身の体験談はいかがでしたか?ぜひ下のコメント欄で教えてください。
