Apple の 2 要素認証の自動入力機能により、SMS 経由で送信された確認コードの入力が簡単になりますが、フィッシング攻撃者はこれを巧妙に利用し始めています。

彼らは、SMS コードの入力を求めるサイトへの偽のリンクをクリックするようにユーザーを誘導するときにも同じことを行います。そのため、自動入力によってコードを貼り付けることが提案されると、本物であるように見えます...

しかし、Apple は現在、企業に対し、新しい、より安全な形式で SMS コードを送信するよう求めることで、これを防止しています。

この形式では、ドメインが一致した場合にのみ、デバイスで確認コードの自動入力が提案されます。例えば、サイトがapple.comであると主張しているにもかかわらず、フィッシングリンクがapple.securelogin.comである場合、自動入力オプションは提示されません。

昨年末から目にするようになった新しいフォーマットは次のようになります。

あなたのApple IDコードは123456です 。誰にも教えないでください。@apple.com #123456 %apple.com

Macworld がこの変更について説明しています。

一般的な形式は次のようになります。

• コードの後に​​新しい行が続く、人間が読める標準的なメッセージ。
• スコープドメインは です @domain.tld。
• コードは として再度繰り返されます #123456。
• サイトが iframe と呼ばれる埋め込み HTML 要素を使用している場合、iframe のソースは のように % の後にリストされます %ecommerce.example。(元の仕様では @ が指定されていますが、Apple はテキストに % を使用しているようです。)

これは完璧な解決策ではありません。ユーザーが自分のデバイスが自動入力に対応していないことに気づき、その事実を警告として認識する必要があります。また、SMSベースの2要素認証を使用している企業が新しい形式を採用することも必要です。最後に、以前にも指摘したように、SMSは2要素認証の安全な方法ではありません。コードジェネレーターの方が優れており、iOS 15にはコードジェネレーターが組み込まれています。

でも、ちょっとしたことでも役に立ちます。SMS認証コードを受け取ったのに自動入力が機能しない場合は、ドメイン名をよく確認してください。さらに良いのは、リンクをクリックするのではなく、常にブックマークを使用するか、URLを入力することです。

havebin.com を Google ニュース フィードに追加します。 

FTC: 収益を生み出す自動アフィリエイトリンクを使用しています。詳細はこちら。