Havebin

Apps

iPhoneのパスワードリセット攻撃から身を守る方法c

Havebin
qlamk
0 Comments
iPhoneのパスワードリセット攻撃から身を守る方法c
iPhoneのパスワードリセット攻撃から身を守る方法c
iPhoneのパスワードリセットを防ぐ

iPhoneに対する最近の攻撃の一つとして、悪意のある人物がApple IDのパスワードリセットシステムを悪用し、iOSのプロンプトを大量に表示させてアカウントを乗っ取ろうとする攻撃が見られます。iPhoneのパスワードリセット攻撃(「MFAボミング」とも呼ばれます)から身を守る方法をご紹介します。

最近、AppleユーザーがMFAボミング(MFA疲労、プッシュボミングとも呼ばれる)の標的になっているというニュースを耳にしました。これは新しい攻撃ではありませんが、被害者に公式のiOSパスワードリセットプロンプトをプッシュするため、説得力のある詐欺になり得ます。

Krebs on Securityが詳述しているように(Parth Patel 経由)、この脆弱性を悪用する攻撃者は Apple ユーザーの電話番号を介して実行しているようです。この電話番号によって、iPhone やその他の Apple デバイスに 100 以上の MFA (多要素認証) システム プロンプトを表示し、Apple ID パスワードをリセットすることができます。

2024年4月21日更新: Appleが3月末に修正プログラムをリリースして以来、この攻撃による「爆弾」のような事例は確認されていません。しかし、 9to5Macのチームメイトと私は、今週末、Appleデバイスでパスワード攻撃を目撃しました。

私の場合、iPhoneとMacの両方でパスワードリセットのプロンプトが表示されました。幸い、それぞれのデバイスで1回だけだったので、すぐに拒否されました。一方、同僚のブラッドリーは5回もプロンプトが表示されました。

警戒を怠らず、安全にお過ごしください。

2024年3月28日午後2時40分(太平洋標準時)更新 9to5Macはこの問題についてAppleの広報担当者から情報を得ました。同社は最近発生した数件のフィッシング攻撃について認識しており、問題解決に向けた対策を講じています。

iPhoneのパスワードリセット攻撃から身を守る方法

  1. 衰退、衰退、衰退
    • パスワードリセット要求はシステムレベルの警告なので、説得力があるように感じられるが、必ずすべて「許可しない」を選択するようにする。
    • 攻撃者が被害者を疲弊させる方法の一つは、時には数日間にわたって何百ものプロンプトを攻撃することです。「許可しない」を選択し続け、必要に応じて以下の手順3を使用してください。
    • 注: ウェブ上でパスワードリセットのプロンプトが表示された場合、別のフィッシング詐欺である可能性があります。どちらのボタンも悪質なリンクにつながる可能性があるため、ページを閉じてください。
  2. 発信者番号に「Appleサポート」などと表示されていても、 電話に出ないでください。
    • 攻撃者は、着信番号を公式のAppleサポートの電話番号に見せかけるなりすまし電話を利用しており、個人情報を確認して詐欺が正当なものであるように見せかけることができる可能性がある。
    • 次に、彼らはあなたからワンタイムパスコードを入手し、あなたのAppleアカウントを乗っ取ろうとします
    • 疑わしい場合は、電話を拒否し、Appleに折り返し電話してください(米国では800.275.2273)。なりすまし電話は、本物のAppleへの発信を傍受できないはずです。
    • Appleは、「顧客が連絡を希望しない限り」発信することはなく、ワンタイムコードを誰とも共有してはならないことを強調している。
  3. Apple IDに関連付けられている 電話番号を一時的に変更する
    • 引き続きプロンプトが表示される場合は、Apple IDに紐づけられている電話番号を変更すると、プロンプトが表示されなくなるはずです。
    • ただし、iMessageとFaceTimeに干渉することに注意してください。

詳細はこちら

iPhoneのパスワードリセット攻撃から身を守る方法

Krebs on Security の記事で指摘されているように、Apple ID パスワード リセット システムにはレート制限の問題があるようです。

最初のリクエストにユーザーが反応すらしていないのに、数瞬のうちに何十回もパスワード変更リクエストを送信するような、まともな認証システムとは一体何なのだろうか?これはAppleのシステムのバグによるものだろうか?

Appleが悪意のある第三者によるシステムの悪用を防ぐための修正に取り組んでいることを期待したい。しかし残念ながら、パスワードリセット詐欺は少なくとも2年間(おそらくそれ以上)ユーザーから指摘されてきた。

最近、ある被害者がAppleのシニアエンジニアから、パスワードリセット通知を停止するためにApple IDの復旧キー機能をオンにするようアドバイスされたと話していました。しかし、その後の検証で、そのアドバイスは当てはまらず、Krebs on SecurityはApple復旧キーではパスワードリセットの通知を防げないことを検証しました。

関連している:

  • iPhoneを狙う最初のトロイの木馬「GoldPickaxe」から身を守る方法
  • お知らせ:AI音声複製となりすまし通話は恐ろしく説得力のある詐欺を生み出します。身を守る方法はこちら
  • iPhone の盗難デバイス保護をオンにする方法と、オンにすべきかどうか

画像提供:9to5Mac

havebin.com を Google ニュース フィードに追加します。 

FTC: 収益を生み出す自動アフィリエイトリンクを使用しています。詳細はこちら。

Havebin

Havebin

This author has no bio yet.

You May Also Like