iPhoneやApple Watchを襲う「MFA爆弾」相次ぐ パスワードリセット通知を大量送付、乗っ取りを狙う

多要素認証システムの弱点を突く「プッシュ爆弾」とは？

　他人のiPhoneやApple Watchを狙ってパスワードのリセット通知を大量に送り付けるフィッシング詐欺攻撃が相次いで報告されている。「MFA爆弾」「MFA疲労」（MFA：多要素認証）と呼ばれる洪水のような通知は一度始まったら止める術がなく、Appleを装う相手にだまされてアカウントを乗っ取られる恐れもある。

　「私のApple端末が全て、パスワードリセット通知で爆破された。Appleのシステム（を装った）通知（原文は「Apple system level alerts」）だったので、100件以上の通知で『許可しない』をクリックするまで、電話もウォッチもラップトップも使えなくなった」

　そう伝えたのは起業家のパース・パテルさん。友人も同じような被害に遭っていることから起業家や創業者が狙われていると判断し、Xで情報を共有した。

　大量の通知から15分ほどすると、今度はAppleのサポートをかたる相手から電話がかかってきたという。画面に表示されたのはAppleの公式サポートの電話番号。発信者電話番号を偽装する手口が使われたらしい。

　不審に思ったパテルさんが、確認のために自分の電子メールアドレスや住所などを尋ねると、相手は正確に答えたという。しかし名前だけが違っていたことからパテルさんは、相手が人名検索サイト「People DataLabs」で販売されていた自分の情報を持っていると確信した。

　電話の相手はワンタイムパスワードを教えるようパテルさんに要求してきたという。「もし最初のリセット通知スパムを許可するか、このコードを共有していたら、ハッキングされていただろう」とパテルさんは言う。

●多要素認証の弱点を悪用か

　サイバーセキュリティ調査報道サイト「Krebs on Security」によると、パテルさんを襲ったのは多要素認証（MFA）システムの弱点を突く「プッシュ爆弾」「MFA疲労」と呼ばれる攻撃だった。

　攻撃者は大量のパスワードリセット通知を送り付けた後、Appleのサポートになりすまして電話をかけ、アカウントが攻撃を受けていると主張して「確認」のためのワンタイムパスワードを教えるよう要求していた。

　攻撃者の狙いは、ワンタイムパスワードを含むApple IDのリセットコードをユーザーの端末に送信させ、そのコードを提供させることにある。攻撃者がこれを使えばパスワードをリセットしてそのユーザーのアカウントから本人を締め出すことができ、遠隔操作でそのユーザーのApple端末を全て消去することも可能になる。