画像: Macworld
ご存知ない方もいるかもしれませんが、ハッカーはPhAASプラットフォームに登録できます。つまり、ハッカーが購入してフィッシング詐欺を実行できるPhAASソフトウェアパッケージを提供する企業が存在するのです。セキュリティ研究機関Catalystのレポートによると、Lucidと呼ばれる新しいPhAASが現在利用可能で、iPhoneを標的に利用されています。
Lucid の懸念点は、エンドツーエンドの暗号化によりスパムフィルターを回避できる Apple の iMessage 経由で送信されたフィッシングメッセージに関係していたことです。また、Lucid は暗号化された RCS 経由でメッセージを送信するため、Android デバイスへの攻撃が可能になります。Apple は、今後の iOS アップデートで暗号化された RCS をサポートすると発表しています。
iMessage経由でフィッシングメッセージを送信するために、iPhoneファームが構築されています。Lucidの開発元であるXinXinは、「偽装表示名を使用した一時的なApple ID」を使用して、毎日10万件以上のメッセージを送信できると主張しています。レポートによると、PhAASパッケージはテンプレートを提供しており、攻撃者は正規のウェブサイトやメッセージに見せかけた偽装メッセージを作成できます。フィッシングメッセージは、未払いの通行料、送料、税金の支払いを促し、リンクをクリックすると、米国郵便公社を装ったサイトなど、正規のウェブサイトに見せかけたウェブサイトに誘導されます。
フィッシング メッセージを送信するために使用される iPhone フィッシング ファーム。
触媒
iPhoneユーザーの中には、Appleの対策のおかげでiMessageを受信する際に安心感を覚える人もいるかもしれない。しかしCatalystは、ハッカーがこの安心感を悪用していると指摘する。Lucidの成功率は「運用コストを効果的に抑える」ほどだ。
ハッカー攻撃から身を守る方法
テキストメッセージは便利ですが、攻撃を受ける可能性も高くなります。テキストメッセージ内のリンクは可能な限り使用しないでください。どうしてもリンクを使用する必要がある場合は、必ずURLを確認してください。攻撃者は偽のドメインを正規のドメインに見せかけることがあります。メッセージが下手な場合、タイプミス、スペルミス、文法の誤りがある場合は、信用しないでください。Macworldには、スミッシング攻撃を回避するためのガイドがあります。AppleはOSアップデートを通じてセキュリティパッチをリリースしているので、できるだけ早くインストールすることが重要です。サードパーティ製のブラウザを使用している場合は、Macworldにいくつかのガイドがあります。ウイルス対策ソフトウェアが必要かどうかのガイド、Macのウイルス、マルウェア、トロイの木馬のリスト、Macセキュリティソフトウェアの比較などです。
著者: ロマン・ロヨラ、Macworld シニアエディター
ロマンはMacworldのシニアエディターで、30年以上にわたりテクノロジー業界を取材し、MacをはじめとするAppleエコシステム製品を中心に活躍しています。Macworld Podcastのホストも務めています。彼のキャリアはMacUserで始まり、Apple認定修理技術者(当時はAppleがそのような制度を設けていた)として認定されました。MacAddict、MacLife、TechTVでも活躍しています。
