iPhoneやApple Watchを襲う「MFA爆弾」相次ぐ パスワードリセット通知を大量送付、乗っ取りを狙う
ITmedia NEWS / 2024年4月12日 8時5分
多要素認証システムの弱点を突く「プッシュ爆弾」とは?
他人のiPhoneやApple Watchを狙ってパスワードのリセット通知を大量に送り付けるフィッシング詐欺攻撃が相次いで報告されている。「MFA爆弾」「MFA疲労」(MFA:多要素認証)と呼ばれる洪水のような通知は一度始まったら止める術がなく、Appleを装う相手にだまされてアカウントを乗っ取られる恐れもある。
「私のApple端末が全て、パスワードリセット通知で爆破された。Appleのシステム(を装った)通知(原文は「Apple system level alerts」)だったので、100件以上の通知で『許可しない』をクリックするまで、電話もウォッチもラップトップも使えなくなった」
そう伝えたのは起業家のパース・パテルさん。友人も同じような被害に遭っていることから起業家や創業者が狙われていると判断し、Xで情報を共有した。
大量の通知から15分ほどすると、今度はAppleのサポートをかたる相手から電話がかかってきたという。画面に表示されたのはAppleの公式サポートの電話番号。発信者電話番号を偽装する手口が使われたらしい。
不審に思ったパテルさんが、確認のために自分の電子メールアドレスや住所などを尋ねると、相手は正確に答えたという。しかし名前だけが違っていたことからパテルさんは、相手が人名検索サイト「People DataLabs」で販売されていた自分の情報を持っていると確信した。
電話の相手はワンタイムパスワードを教えるようパテルさんに要求してきたという。「もし最初のリセット通知スパムを許可するか、このコードを共有していたら、ハッキングされていただろう」とパテルさんは言う。
●多要素認証の弱点を悪用か
サイバーセキュリティ調査報道サイト「Krebs on Security」によると、パテルさんを襲ったのは多要素認証(MFA)システムの弱点を突く「プッシュ爆弾」「MFA疲労」と呼ばれる攻撃だった。
攻撃者は大量のパスワードリセット通知を送り付けた後、Appleのサポートになりすまして電話をかけ、アカウントが攻撃を受けていると主張して「確認」のためのワンタイムパスワードを教えるよう要求していた。
攻撃者の狙いは、ワンタイムパスワードを含むApple IDのリセットコードをユーザーの端末に送信させ、そのコードを提供させることにある。攻撃者がこれを使えばパスワードをリセットしてそのユーザーのアカウントから本人を締め出すことができ、遠隔操作でそのユーザーのApple端末を全て消去することも可能になる。
-
- 1
- 2
この記事に関連するニュース
-
パスワードの定期的な更新が推奨されない理由とは
マイナビニュース / 2024年4月30日 14時11分
-
楽天モバイルで「身に覚えのないeSIM再発行」の危険性 緩すぎる2つのプロセスは改善すべき
ITmedia Mobile / 2024年4月27日 6時5分
-
iPhoneをパスワード入力不要にする「設定方法」 低リスクで複数人で「パスキー」共有も可能
東洋経済オンライン / 2024年4月26日 13時10分
-
Cisco Duoの提携先事業に不正アクセス、多要素認証のログが流出
マイナビニュース / 2024年4月18日 8時44分
-
Apple、日本を含む世界の一部ユーザーにスパイウエアの「脅威の通知」
ITmedia Mobile / 2024年4月12日 23時42分
ランキング
-
1佐野正弘のケータイ業界情報局 第125回 SIMフリーに消極的だったサムスン電子、なぜ「Galaxy S24」で方針を一転させた?
マイナビニュース / 2024年4月30日 11時30分
-
2「絶対美味しいじゃん」とXで話題! おかずにもなる「春キャベツと鶏そぼろのお味噌汁」がおいしそう
ねとらぼ / 2024年4月30日 7時0分
-
3東京駅の中身ってこうなってたんだ! 豆知識が詰まった手描きの断片図に「これ凄い!」「見ながら散策したい」の声
ねとらぼ / 2024年4月28日 19時45分
-
4「Vポイント」お得なキャンペーン全解説 新規の方は絶対読んでほしい
ASCII.jp / 2024年4月30日 7時30分
-
511年ぶりに出会った“本格的”Android搭載液タブ XPPen「Magic Drawing Pad」をプロイラストレーターがレビューして分かったアレコレ
ITmedia PC USER / 2024年4月30日 12時0分
複数ページをまたぐ記事です
記事の最終ページでミッション達成してください