iPhoneやApple Watchを襲う「MFA爆弾」相次ぐ パスワードリセット通知を大量送付、乗っ取りを狙う
ITmedia NEWS / 2024年4月12日 8時5分
多要素認証システムの弱点を突く「プッシュ爆弾」とは?
他人のiPhoneやApple Watchを狙ってパスワードのリセット通知を大量に送り付けるフィッシング詐欺攻撃が相次いで報告されている。「MFA爆弾」「MFA疲労」(MFA:多要素認証)と呼ばれる洪水のような通知は一度始まったら止める術がなく、Appleを装う相手にだまされてアカウントを乗っ取られる恐れもある。
「私のApple端末が全て、パスワードリセット通知で爆破された。Appleのシステム(を装った)通知(原文は「Apple system level alerts」)だったので、100件以上の通知で『許可しない』をクリックするまで、電話もウォッチもラップトップも使えなくなった」
そう伝えたのは起業家のパース・パテルさん。友人も同じような被害に遭っていることから起業家や創業者が狙われていると判断し、Xで情報を共有した。
大量の通知から15分ほどすると、今度はAppleのサポートをかたる相手から電話がかかってきたという。画面に表示されたのはAppleの公式サポートの電話番号。発信者電話番号を偽装する手口が使われたらしい。
不審に思ったパテルさんが、確認のために自分の電子メールアドレスや住所などを尋ねると、相手は正確に答えたという。しかし名前だけが違っていたことからパテルさんは、相手が人名検索サイト「People DataLabs」で販売されていた自分の情報を持っていると確信した。
電話の相手はワンタイムパスワードを教えるようパテルさんに要求してきたという。「もし最初のリセット通知スパムを許可するか、このコードを共有していたら、ハッキングされていただろう」とパテルさんは言う。
●多要素認証の弱点を悪用か
サイバーセキュリティ調査報道サイト「Krebs on Security」によると、パテルさんを襲ったのは多要素認証(MFA)システムの弱点を突く「プッシュ爆弾」「MFA疲労」と呼ばれる攻撃だった。
攻撃者は大量のパスワードリセット通知を送り付けた後、Appleのサポートになりすまして電話をかけ、アカウントが攻撃を受けていると主張して「確認」のためのワンタイムパスワードを教えるよう要求していた。
攻撃者の狙いは、ワンタイムパスワードを含むApple IDのリセットコードをユーザーの端末に送信させ、そのコードを提供させることにある。攻撃者がこれを使えばパスワードをリセットしてそのユーザーのアカウントから本人を締め出すことができ、遠隔操作でそのユーザーのApple端末を全て消去することも可能になる。
-
- 1
- 2
この記事に関連するニュース
-
「Dropbox Sign」に不正アクセス、顧客情報が窃取された可能性
マイナビニュース / 2024年5月2日 18時33分
-
Apple IDを乗っ取る攻撃に注意、執拗なパスワードリセットの通知に負けるな
マイナビニュース / 2024年5月2日 10時17分
-
パスワードの定期的な更新が推奨されない理由とは
マイナビニュース / 2024年4月30日 14時11分
-
楽天モバイルで「身に覚えのないeSIM再発行」の危険性 緩すぎる2つのプロセスは改善すべき
ITmedia Mobile / 2024年4月27日 6時5分
-
iPhoneをパスワード入力不要にする「設定方法」 低リスクで複数人で「パスキー」共有も可能
東洋経済オンライン / 2024年4月26日 13時10分
ランキング
-
1「そっち使うの?!」「これは天才」 さびだらけの鉄くぎをぐつぐつ煮込むと……? DIYに役立つ“まさかの使い道”が200万再生
ねとらぼ / 2024年5月2日 12時15分
-
2「広告の女の子誰!?」「かわいいな」 ポカリの新CMに出演、ファッション誌で活躍する2人が注目集める
ねとらぼ / 2024年5月3日 8時15分
-
3「商品名ふざけてる」 新商品の“そのまま過ぎる名前”が話題 トマト農家の告知に「声に出したい」「最高」
ねとらぼ / 2024年5月3日 9時0分
-
4『ポケモンGO』普段、日本じゃゲットできないポケモンに会える!48時間の“激レア色違い”が熱い「ライバルイベント」ポイントまとめ
インサイド / 2024年5月4日 0時0分
-
5GWのUターンラッシュでスマホを活用する技 道路の渋滞情報と、電車の混雑状況を確認しやすいアプリはどれ?
ITmedia Mobile / 2024年5月5日 19時25分
複数ページをまたぐ記事です
記事の最終ページでミッション達成してください