アップル製デバイスを狙う新たなパスワードリセット攻撃が登場

　Apple製デバイスのユーザーは新たなフィッシング攻撃に直面している。それは「多要素認証（MFA）爆弾」という、データの窃盗を目的とした攻撃だ。

提供：d3sign/Getty Images

　セキュリティ関連のブログサイトKrebsOnSecurity.comを運営するBrian Krebs氏は米国時間3月26日付の投稿で、Appleのパスワードリセット機能を悪用したとみられるハッキング攻撃がこのところ発生しているとし、そうした攻撃を受けたユーザーの体験を報告している。それによると攻撃者は、Appleのパスワードリセットツールを使用し、「Apple ID」のパスワードをリセットするよう求める通知を数百件とはいかないまでも、数十件単位で標的に送りつけたという。ユーザーがこれら通知のうちの1つにでも「Allow」（許可する）を選択してしまうと、攻撃者はユーザー認証情報のリセットに向け、1歩近づくことになる。このデバイスを使って新たなパスワードを設定できるようになるためだ。しかも残念なことに、全ての通知に対して「Don't Allow」（許可しない）を選択したとしても問題が解決するわけではない。

　同投稿によると、標的になった人々がパスワードのリセットを許可しないという選択肢を選ぶと、Appleのサポートチームを名乗る攻撃者からの電話がかかってきたという。攻撃者の目的は、ユーザーのデバイスにパスワードのリセットコードが送信されるよう仕向け、ユーザーからそのコードを聞き出すことだとされている。コードが分かれば、Apple IDのパスワードをリセットし、標的としているユーザーのアカウントへの全面的なアクセスを得ることができる。

　Krebs氏に情報を提供した人々は、こうした通知に対して「許可する」を選択しなかったため、許可した場合に攻撃者が何をしようとしたのか明らかではない。おそらく許可した場合でも、Appleサポートを名乗って標的に電話をかけ、デバイスのパスワードをリセットするよう仕向け、そのパスワードを聞き出そうとしていただろう。

　このMFA爆弾攻撃の影響を受けたAppleユーザーの数は不明だ。しかし、Krebs氏の情報源は、「iPhone」「Apple Watch」「Mac」で通知を受け取ったと報告しており、この攻撃が1種類のAppleデバイスだけに限定されたものではないことを示唆している。さらに悪いことに、この攻撃を止める簡単な方法はない。

　情報提供者の1人は、この攻撃に関してAppleに支援を求めたところ、Apple IDのパスワードを変更する際に必要となる28文字からなる復旧キーを作成しておくよう告げられたという。しかし、復旧キーを作成してあったとしても、攻撃者から複数の通知が送り付けられてくるのを防ぐことはできないとKrebs氏は述べている。この問題はどうやらAppleのパスワードリセット機能そのものにあると言えそうだ。このため、同社がその仕組みを変更するまで攻撃者はこの手法を用いてユーザーを狙い続けるだろう。

　今のところAppleユーザーにとって唯一の選択肢は、常に情報を入手し、警戒を怠らないことだ。突然パスワードリセットのリクエストが大量に送られてきたら、必ず通知で「許可しない」を選ぼう。通知のせいでデバイス上のアプリやサービスを利用できないからといって、「許可する」を選んではならない。いずれにせよ着信に備え、決して応答しないことだ。

　また、Appleはユーザーに直接電話をかけることはないと明言している。そのため、Appleのサポートに見せかけた電話番号からかかってきた場合は、決して応答せず、ましてや発信者に情報を提供することがあってはならない。