「@apple.com 123456」の2FAコードの意味

最近 Apple ID でログインし、信頼できるデバイスの方法を使用する代わりに SMS ベースの 2 要素認証コードを要求した場合、受信するテキストに Apple が変更を加えたことに気付いたかもしれません。

以前、Apple は次のようなメッセージを送信しました。

あなたのApple IDコードは 123456です。誰にも教えないでください。

2021 年 11 月頃から、コードは次の形式で表示されます。

あなたのApple IDコードは123456です 。誰にも教えないでください。@apple.com #123456 %apple.com

なぜ変更されたのでしょうか？Appleは2020年8月、ログインに「ドメインバインドコード」をサポートすると提案しました。この種のコードでは、サイト側は認証コード用のテキストメッセージに若干の追加を加える必要があります。受信メッセージには、送信先ドメインとその他のデータが含まれている必要があります。Appleによると、この変更により、iOSとiPadOSのQuickTypeバーの候補表示、macOS Safariなどのこの機能を利用するmacOSアプリのドロップダウン値によるコードの自動入力が可能になり、オペレーティングシステムの整合性が向上するとのことです。

Appleはこの変更を、認証コードを傍受してリダイレクトしようとするフィッシングを阻止する手段として提案しました。多くのフィッシング攻撃では、被害者は偽サイトに誘導され、認証情報の入力を求められます。サイト側は認証情報を取得し、それを正規サイトへのログインに利用します。

しかし、一部の攻撃者は二要素認証を巧みに利用しています。サイトがデフォルトの方法としてSMSでコードを送信する場合、フィッシングの標的となったユーザーはコードが記載されたテキストメッセージを受け取ります。そして、フィッシング攻撃者はそのコードの入力を求めます。

iOS、iPadOS、macOSでは、メッセージアプリにSMSで最後に届いたコードを、適切な形式のフィールドに入力するよう求められます。フィッシングサイトの確認コード入力フィールドも同様です。これでは詐欺師にとって非常に手軽な攻撃になってしまいます。

ただし、Appleの提案通りテキストメッセージにスコープが設定されている場合、iOS 15、iPadOS 15、macOS 11 Big Sur以降のオペレーティングシステムでは、ドメイン名に一致するサイトでのみ自動入力が提案されます。セキュリティは完璧ではありませんが、防御策を強化するためのシンプルなアップデートです。

一般的な形式は次のようになります。

• コードの後に​​新しい行が続く、人間が読める標準的なメッセージ。
• スコープドメインは です @domain.tld。
• コードは として再度繰り返されます #123456。
• サイトが iframe と呼ばれる埋め込み HTML 要素を使用している場合、iframe のソースは のように % の後にリストされます %ecommerce.example。(元の仕様では @ が指定されていますが、Apple はテキストに % を使用しているようです。)

ユーザーの皆様には何もしていただく必要はありません。有効なサイトでは、SMSコードは引き続き正常に自動入力されます。

ただし、より慎重に行動することが重要です。この形式のコードをテキストメッセージで受信し、アプリやブラウザで自動入力機能が利用できない場合は、フィッシング詐欺に引っかかる可能性があります。操作を進める前に、ドメインまたはアプリを慎重に調査してください。

この Mac 911 の記事は、Macworld の読者 Kevin から寄せられた質問に対する回答です。

Mac 911に問い合わせる

よくある質問とその回答、コラムへのリンクをまとめました。FAQ集をご覧になり、ご質問が網羅されているかご確認ください。もし掲載されていない場合でも、私たちは常に新しい問題解決の糸口を探しています！ご質問は [email protected]までメールでお送りください。スクリーンショット（必要な場合）と、氏名の使用可否を明記してください。すべての質問に回答できるとは限りません。メールへの返信は行っておりません。また、トラブルシューティングに関する直接的なアドバイスも提供できません。

著者: Glenn Fleishman、Macworld 寄稿者