サイバーセキュリティ企業は、Siri の機能が詐欺師によってフィッシング攻撃に悪用される可能性があることを実証した。

このアプローチは、Siri が未知の発信者を識別しようとする方法に反応しており、発信者が誰であるかについて誤解を招く印象を与える可能性があります...

Siriが発信者を認識できない場合、いくつかの異なるアプローチを使って発信者の可能性を推測します。そして、着信画面に「おそらく：誰」と表示します。

「たぶん」は Siri が発信者の身元を確信していないという手がかりではあるが、たとえば銀行名を告げられた場合など、不注意な人がそれに頼ってしまうかもしれない。

フォーチュン誌は、サイバーセキュリティ企業Wanderaがその仕組みを説明していると報じている。

このソーシャルエンジニアリングのトリックを成功させる方法は2つあります[…] 1つ目は、攻撃者が偽のアカウント、あるいはなりすましアカウント（例えば「Acme Financial」）から、なりすましメールを送信することです。このメールには電話番号を記載する必要があります。例えば、メールの署名に電話番号を記載します。ターゲットが返信した場合（自動返信の不在通知であっても）、次に詐欺師がテキストメッセージや電話で連絡する際には、その連絡先は「Maybe: Acme Financial」と表示されるはずです。

テキストメッセージを使えば、この策略はさらに簡単になります。iMessageで身元不明の人物が「固有名詞」と名乗った場合、iPhoneの連絡先候補機能では、その人物は「もしかしたら：[誰]」と表示されるはずです。

Apple は「銀行」や「信用組合」といった特定のフレーズをブロックしますが、具体的な銀行名はブロックしません。そのため、Wells Fargo のような銀行については推測された ID が表示されます。

ブルームバーグのマーク・ガーマン氏が指摘するように 、これはiOS 9から可能になった。

興味深い指摘ですね。しかし、これは全く問題ではないと思います。2015年からiOSの機能として存在しています。Appleはおそらく簡単に無効化スイッチを追加できるでしょう。https://t.co/zGfaVrfkgx

— マーク・ガーマン（@markgurman）2018年6月11日

ワンデラは4月にこの問題をAppleに報告したが、Appleはこれをセキュリティ上の脆弱性とはみなしていないと述べた。Appleは「解決に役立てるため」ソフトウェアの問題として記録したと述べており、セキュリティ対策を強化する可能性を示唆している。

Siriの連絡先推測機能は、おそらく既にご存知でしょう。しかし、詐欺師が潜在的な脆弱性を悪用しようとしている可能性があることに、注意しておく価値はあるでしょう。

Apple のニュースをもっと知りたい場合は、YouTube の 9to5Mac をご覧ください。

havebin.com を Google ニュース フィードに追加します。 

FTC: 収益を生み出す自動アフィリエイトリンクを使用しています。詳細はこちら。