「心拍数を図るので親指でホームボタンに触れて下さい」→１万円課金

sssp://img.5ch.net/ico/syobo1.gif
ヘルスアプリで心拍数を測定するので親指でホームボタンに触れるように指示された

https://internet.watch.impress.co.jp/docs/column/dlis/1158498.html
http://internet.watch.impress.co.jp/img/iw/docs/1158/498/01.png

健康のために、iPhoneにヘルスアプリをインストールしたところ、心拍数を測定するので、Touch IDの利用を許可するように表示されます。指紋認証だけではなく、心拍数の測定もできるんだ、と感心しつつホームボタンに登録した指で触れます。その際、画面が暗くなるという演出付きです。心拍数を測定するので、心を落ちつかせるためでしょうか。すると、1万円が課金されました。

この手法は、厳密に言うと、法的にはグレーかもしれませんが、ユーザーをだましてお金を取ろうとしているので新手のネット詐欺と考えた方がよいでしょう。

　Touch IDで心拍数などは測定できません。iPhoneアプリで心拍数を測定するならカメラを利用します。これは、単に、1万円前後の課金を許可させるための誘導です。とはいえ、勝手に課金するのは無理で、ユーザーの許可が必要なのでTouch IDで決済を承認させようとしているのです。承認時に、画面の明るさを落としたのは、課金額を読みにくくするためです。屋外で操作しているなら、気が付かないこともあるでしょう。承認したら、普通に決済されます。

　このようなアプリが複数確認されており、そのたびにApp Storeから削除されています。iOSにはウイルスは入りにくいので、不正アプリはほとんどなかったため、今回の事例は大きなインパクトがあります。iPhoneとはいえ、インストールするアプリのチェックが必要になりそうです。

>>1つづき

　iPhone Xシリーズであれば、Touch IDがないので安心です。さすがに、サイドボタンのダブルクリックで心拍数を測定するというのは無理があります。しかし、iPhone 8/7/6などまだまだ現役で使われている端末には、Touch IDが搭載されているので注意が必要です。

　App Storeで公開されるアプリの審査は厳しいのですが、今回はまず普通に審査を通して登録までこぎ着け、その後のアップデートでアプリ内課金の仕組みを追加したようです。Appleはこの手の詐欺に厳しいので、今後被害が拡大するということはなさそうですが、しばらくは自己防衛する必要があります。

対処法としては、まず、怪しいアプリをインストールしないこと。特に、自分が説明などを読めない言語のアプリは避けた方がいいでしょう。次に、アプリに不要なアクセス権限を許可しないこと。そして、ダイレクトにお金に関わる認証方法には敏感になることです。何なら、Touch IDの設定から、決済を外しておくのも手です。その場合は、従来通りパスワードを使って認証します。もちろん、端末のロック解除はそのまま使えます。

http://internet.watch.impress.co.jp/img/iw/docs/1158/498/02.jpg