Appleデバイスのユーザーを標的とし、Apple IDへのアクセスを狙うフィッシング攻撃は数多く知られています。しかし、新たな「巧妙な」攻撃では、Apple IDのパスワードリセット機能のバグを悪用し、「プッシュボミング」や「MFA疲労」といった手法を用いて、Appleデバイスに大量のパスワードリセット要求を送りつけます。

新たなフィッシング攻撃は、ユーザーにApple IDのパスワードをリセットするよう説得しようとする

Krebs on Securityの報道によると、起業家のParth Patel氏は、この新たな巧妙なフィッシング攻撃の被害者の一人となった。Patel氏はXの投稿で、自身のiPhoneやその他のAppleデバイスが突然「パスワードリセットの通知で溢れかえり始めた」と説明した。しかし、これはシステムレベルの警告であるため、ユーザーが操作するまでデバイスを使用できなくなる。

パテル氏によると、Apple IDのパスワードリセットを求めるリクエストが100件以上届いたという。しかし、攻撃はそこで止まらなかった。約15分後、Appleの公式サポート電話番号を偽装した人物から電話がかかってきたのだ。

「私はまだ警戒していたので、質問に答える前に、私に関する大量の情報を確認するように頼みました」とパテル氏は語った。被害者の信頼を得るために、Appleサポートの職員を装った人物は、メールアドレス、電話番号、現在の請求先住所など、複数の正確な個人情報を提供した。

幸運なことに、パテル氏は相手に名前を確認させた後、詐欺電話だったと確認することができました。「People Data Labsから取得した私のデータをリアルタイムで使用して、大量の情報を検証していたと聞きました。私はすべてのデータを正しく伝えていたにもかかわらず、ハッカーたちは私の名前をアンソニー・Sだと勘違いしていたのです。」

ご存じない方のために説明すると、People Data Labsは個人データを収集・販売するプラットフォームです。このプラットフォームは2019年に大規模な情報漏洩の標的となり、約12億件の記録が流出しました。

攻撃者が狙っているのは、被害者に何か問題があると思わせ、パスワードをリセットするにはAppleから送られてきたコードを共有する必要があると思わせることです。もちろん、被害者がこのコードを他人と共有すれば、その人はApple IDへの完全なアクセス権を取得できます。

Krebs on Securityは、同じフィッシング攻撃の標的となった他のAppleデバイスユーザーにも話を聞いた。いずれのケースでも、Apple IDのパスワードリセットを促すスパムメールが大量に送信され、数分後または数日後に偽のAppleサポートから電話がかかってきたという。注目すべきは、Appleはユーザー自身がウェブサイトやアプリでリクエストしない限り、ユーザーに電話をかけることはないということだ。

Appleはこの件についてまだコメントしておらず、攻撃者が複数のパスワードリセットリクエストを送信することを防ぐアップデートもリリースしていません。現時点では、このような攻撃を防ぐ最善の方法は、Apple IDのパスワードをリセットするためのコードを他の人と共有しないことです。

こちらもご覧ください

• セキュリティ速報：Jamfは、多くのApple製品使用企業のサイバー衛生状態が「悲惨」であると警告
• iPhoneを狙う最初のトロイの木馬「GoldPickaxe」から身を守る方法

havebin.com を Google ニュース フィードに追加します。