iPhoneユーザーは、iPhoneで時折Apple IDのパスワード入力を求められることに多少は慣れているかもしれませんが、新たなフィッシング攻撃によって、最も大切なパスワードを無意識に入力する前に、二度考えさせられる可能性があります。Krebs on Securityが解説しているように、Appleユーザーは「プッシュボミング」または「MFA疲労」と呼ばれるフィッシング攻撃の標的となっており、攻撃者はAppleデバイスに2者認証通知を繰り返しプッシュ送信します。
パース・パテル氏がTwitter/Xのスレッドに記録しているように、彼のAppleデバイス全てが、Apple IDのパスワードリセットを促すプッシュ通知で「爆発」し始めた。攻撃が終わるまでに100件ほどの通知を消去しなければならなかったと、全員が語っている。パテル氏はこの通知に騙されないよう賢明だったが、他のAppleユーザーはそう簡単にはいかないかもしれない。特にデバイスに大量のリクエストが殺到している状況ではなおさらだ。
Apple の「パスワードを忘れた場合」ページでは、ユーザーは複数のパスワードのリセットをリクエストでき、そのたびにすべてのデバイスに通知が送信されます。
鋳造所
通知が本物に見えるのは、実際に本物だからです。攻撃者は「Appleシステムのバグ」を悪用しているようです。このバグは、Appleの「パスワードをお忘れですか?」ページからパスワードのリセットを試みると、そのApple IDでログインしているすべてのAppleデバイスに正当な通知を送信するというものです。この単純な攻撃では、電話番号とメールアドレス以外に多くの情報は必要とされないようです。Appleのシステムでは、誰かがパスワードのリセットを繰り返し要求し、そのうちの1つが承認されることを期待しています。
その後、ユーザーは「Appleサポート」から(Appleのサポート番号1-800-275-2273を装った)フォローアップの電話を受け、アカウントが攻撃を受けているためワンタイムコードの認証が必要だと告げられます。攻撃者がそのコードを受け取ると、パスワードをリセットし、Apple IDに侵入することができます。
別のユーザーは、Apple Watchで同様のアラートを受け取ったと報告しており、その内容が不審だったため、Apple IDの復旧キーをオンにしたとのことです。復旧キーとは、「ランダムに生成される28文字のコードで、パスワードをリセットしてアカウントに再度アクセスするための制御を強化することで、Apple IDアカウントのセキュリティを強化するのに役立ちます」とのことです。しかし、復旧キーは攻撃者がApple IDのパスワードを変更することを困難にする一方で、通知の受信を完全に防ぐことはできません。
Appleが修正プログラムを提供するまでは、攻撃を阻止するためにできる最善の策は、自分が開始していないパスワードリセット通知を繰り返しキャンセルするか、「許可しない」をタップすることです。そして、たとえ相手がAppleの社員だと言っても、決して2段階認証コードを他人に教えないでください。
著者: マイケル・サイモン、Macworld編集長
マイケル・サイモンは20年以上にわたりAppleを取材しています。iPodがまだiWalkだった頃からSpymacで噂を取材し始め、Appleがこれまでに製造したほぼ全てのiPhoneを所有しています。妻と息子、そして数え切れないほどのガジェットと共にコネチカット州に住んでいます。
