最近、アップルのパスワード機能のバグらしきものを悪用し、iPhoneを乗っ取ろうとするハッカーの攻撃が相次いでいると報じられています。
この攻撃は「iPhoneをApple IDのリセットに使いますか?」という通知から始まるもの。その後、同じ通知が何十回も届きますが、特に厄介なのは、全てに対して「許可しない」と選ぶ必要があることです。選択肢をタップしないかぎり、iPhoneは実質的に使いものにならなくなります。
より怖いのは、間違って「許可する」ボタンを押してしまうこと。そうなれば、この攻撃を仕掛けたハッカーがパスワードをリセットした後、Apple IDを完全に乗っ取ってしまいます。
The attackers made a led high effort focused attack on me, using OSINT data from People Data Labs and caller ID spoofing.
First, around 6:36pm yesterday all of my Apple devices started blowing up with Reset Password notifications.
Because these are Apple system level alerts,… pic.twitter.com/vX1AZvoVoN
— Parth (@parth220_) March 23, 2024
複数のアップル製品を持っている場合、通知がそれら全てに表示されるため、さらに迷惑なものになります。例えば「Ken」という人物は、Apple Watchに表示されたとき「許可しない」ボタンを押すために下にスクロールする必要があったと語っています。
これらを「許可しない」ではね除けた後も、アップル公式サポートと名乗る人物が電話を掛けてきたと複数の人物が語っています。そこでアップル公式に問い合わせたところ、顧客から連絡を取らない限り、こちらから電話を掛けることはないと回答したそうです。
こうした攻撃は、一般的にMFA(多要素認証)疲労攻撃と呼ばれます。ハッカーがなんらかの手段で入手したIDとパスワードを使ってログインすると、正規ユーザーのもとに認証要求が送られます。それを繰り返すうち、正規ユーザーが疲れ果てて「許可する」を押すことを待つというもの。
このパスワードリセット攻撃がiOSのバグによるものかどうかは、今のところ不明です。ともあれ、うっかり「許可します」を押したり、アップルを名乗る人物から電話が掛かってきても、個人情報を渡さないよう気をつけたいところです。
Source: Krebs on Security
via: Tom’s Guide