Apple IDを乗っ取る攻撃に注意、執拗なパスワードリセットの通知に負けるな
マイナビニュース / 2024年5月2日 10時17分
Avast Softwareは4月29日(米国時間)、「What is MFA bombing? Apple users were targeted using this phishing technique」において、Apple IDを乗っ取ろうとする多要素認証消耗攻撃(別名:MFA Bombing、MFA Fatigue Attack)とソーシャルエンジニアリング攻撃を併用する攻撃に注意を呼びかけた。
○多要素認証消耗攻撃とは
多要素認証消耗攻撃とは、アカウント認証の追加のセキュリティ層として利用される多要素認証(MFA: Multi-Factor Authentication)を突破する攻撃手法の一つ。攻撃者は認証等の操作を繰り返し実行し、標的のデバイスに承認通知を絶えず送信し続ける。被害者が繰り返し送られてくる通知のキャンセル操作に疲れ果て、操作を誤り許可することを期待した攻撃手法となる。
○Apple IDの乗っ取り
今回確認された攻撃では、初めに被害者のiPhoneにパスワードリセットを許可するか確認する通知が表示されるという。これは、攻撃者が被害者のApple IDのパスワードリセットを繰り返し試みていることを意味している。
被害者が何度か「許可しない」を選択していると、次に「Apple担当者」を名乗る攻撃者から電話がかかってくる。この時、本物のAppleサポートの電話番号が表示されるが、この電話番号は偽装可能とされる。電話に応じると攻撃者は「あなたのアカウントが攻撃を受けている。ワンタイムパスワードを検証する必要がある」と説明し、デバイスに送付されるワンタイムパスワードの提供を求めてくる。被害者が指示に従いワンタイムパスワードを伝えると、アカウントを乗っ取られる。
○対策
Avast Softwareはこのような攻撃を回避するために、次のような対策を推奨している。
要求していない承認通知には必ず「許可しない」を選択する。表示が繰り返される場合は攻撃されている可能性が高いため、Appleへ報告することが推奨されている
ワンタイムパスワードや個人情報などを求める電話には注意する。表示された電話番号が正規の電話番号であっても信用しない
会話している相手の身元を確認する。違和感がある場合は電話を切り、公式の電話番号にかけ直す
Appleが推奨する「recovery key」などの追加のセキュリティ層を設定する(参考:「Set up a recovery key for your Apple ID - Apple Support」)
最後にAvast SoftwareはAppleに対し、承認通知に上限を設けることを要求している。上限のないパスワードリセットの通知や多要素認証の通知は攻撃者の武器になるだけでユーザーには利益がない。このような攻撃を抑制するために、時間あたりの通知回数に上限を設けることが望まれている。
(後藤大地)
外部リンク
この記事に関連するニュース
-
Dellから4,900万件の顧客情報が流出か
マイナビニュース / 2024年5月12日 18時11分
-
思わずクリック「フィッシング詐欺」メールの巧妙 専門家も見極め困難、2要素認証と「意識」が大切
東洋経済オンライン / 2024年5月7日 8時0分
-
「Dropbox Sign」に不正アクセス、顧客情報が窃取された可能性
マイナビニュース / 2024年5月2日 18時33分
-
楽天モバイルで「身に覚えのないeSIM再発行」の危険性 緩すぎる2つのプロセスは改善すべき
ITmedia Mobile / 2024年4月27日 6時5分
-
Cisco Duoの提携先事業に不正アクセス、多要素認証のログが流出
マイナビニュース / 2024年4月18日 8時44分
ランキング
-
1複数逮捕&服役の元セクシー俳優、“クスリ”に手を出した理由が壮絶すぎ……交際相手の暴力で逃亡も命の危機 「バレてバルコニー伝って入られて」
ねとらぼ / 2024年5月15日 14時50分
-
2Google Chromeに脆弱性、エクスプロイト確認済み - すぐに更新を
マイナビニュース / 2024年5月15日 13時41分
-
3ASUS新作ゲーミングスマホ「ROG Phone 8」シリーズをいち早く体験!「ゲームは、日常というフィールドへ」【発表会レポート】
Game*Spark / 2024年5月15日 11時0分
-
495歳“最強ばあちゃん”が「こればっかり食ってるから丈夫になんだよ笑」と言うのは…… ひ孫への愛あふれるお料理がおいしそう
ねとらぼ / 2024年5月9日 8時0分
-
5日本が舞台の農業生活シム『サニーサイド』発売延期発表―新たなリリース日は6月14日に
Game*Spark / 2024年5月15日 1時0分
記事ミッション中・・・
記事にリアクションする
記事ミッション中・・・
記事にリアクションする
エラーが発生しました
ページを再読み込みして
ください