デジタル
Apple
2024/4/1 10:35

警戒せよ! 海外のiPhoneユーザーにパスワードリセット攻撃が続出

最近、アップルのパスワード機能のバグらしきものを悪用し、iPhoneを乗っ取ろうとするハッカーの攻撃が相次いでいると報じられています。

↑疲労攻撃に警戒せよ

 

この攻撃は「iPhoneをApple IDのリセットに使いますか?」という通知から始まるもの。その後、同じ通知が何十回も届きますが、特に厄介なのは、全てに対して「許可しない」と選ぶ必要があることです。選択肢をタップしないかぎり、iPhoneは実質的に使いものにならなくなります。

 

より怖いのは、間違って「許可する」ボタンを押してしまうこと。そうなれば、この攻撃を仕掛けたハッカーがパスワードをリセットした後、Apple IDを完全に乗っ取ってしまいます。

 

複数のアップル製品を持っている場合、通知がそれら全てに表示されるため、さらに迷惑なものになります。例えば「Ken」という人物は、Apple Watchに表示されたとき「許可しない」ボタンを押すために下にスクロールする必要があったと語っています。

 

これらを「許可しない」ではね除けた後も、アップル公式サポートと名乗る人物が電話を掛けてきたと複数の人物が語っています。そこでアップル公式に問い合わせたところ、顧客から連絡を取らない限り、こちらから電話を掛けることはないと回答したそうです。

 

こうした攻撃は、一般的にMFA(多要素認証)疲労攻撃と呼ばれます。ハッカーがなんらかの手段で入手したIDとパスワードを使ってログインすると、正規ユーザーのもとに認証要求が送られます。それを繰り返すうち、正規ユーザーが疲れ果てて「許可する」を押すことを待つというもの。

 

このパスワードリセット攻撃がiOSのバグによるものかどうかは、今のところ不明です。ともあれ、うっかり「許可します」を押したり、アップルを名乗る人物から電話が掛かってきても、個人情報を渡さないよう気をつけたいところです。

 

Source: Krebs on Security
via: Tom’s Guide