AppleIDを狙ったフィッシング攻撃「プッシュ爆撃」がやばい！

iPhoneユーザーにとって、Apple IDのパスワード認証通知は当たり前のように知ってますよね？

しかし、Apple IDを狙った新たなフィッシング攻撃が起きていることはご存じでしょうか…。

こんにちは！uri uri（@Uriuri_writer）です。安易にパスワードを入力する前に二度考えさせられるようになっています。Apple IDを持っているユーザーは、「プッシュ爆撃」または「MFA疲労」の標的とされており、攻撃者はAppleデバイスに対して二要素認証通知を繰り返し送信することでApple IDの乗っ取りを狙っています。この「プッシュ爆撃（仮称）」に対抗する策はあるのか。どうすればいいのかということについてお話していきたいと思います。

当サイトではiPhoneについて知っておくべき情報を多数掲載しています。あわせてそちらもご覧いただくと専門的知識が得られますよ。

iPhoneで動画や写真撮影し放題！？MagSafe対応SSD「MagDrive」とは？

iPhoneで写真や動画を撮っているとiPhone本体のストレージ容量って気になりますよね？小型SSDの「MagDrive」はMagSafeを使ってペタッとiPhoneに直接取り付けられ、ProRes形式での動画撮影をサポートしてくれるの...

【疑問解決】iPhoneで目と画面の距離を守る機能のオンのやり方とは？

現代のデジタル社会において、スマートフォンの使用は日常生活に欠かせないものとなりました。しかし、画面を見つめる時間の増加は、視覚疲労や目の不快感といった問題を引き起こしています。一種の現代病かもしれませんね。こんにちは！uri uri（...

フィッシング攻撃「プッシュ爆撃」ってなに？
まとめ

フィッシング攻撃「プッシュ爆撃」ってなに？

Parth PatelがTwitter/Xで報告したとおり、彼のすべてのAppleデバイスが、Apple IDのパスワードをリセットするよう促すプッシュ通知で「爆撃」されたようです。そもそも私が爆撃と言っているのは大量に投下されたプッシュ通知があったという情報を見て、何となく爆撃のようだなと思ったところから命名しました（要は造語です）。

Last night, I was targeted for a sophisticated phishing attack on my Apple ID.

This was a high effort concentrated attempt at me.

Other founders are being targeted by the same group/attack, so I’m sharing what happened for visibility.

🧵 Here’s how it went down:

— Parth (@parth220_) March 23, 2024

攻撃が終了する前に約100件の通知をクリアしなければならなかったと言います。Patelはこの通知に騙されることはありませんでしたが、デバイスがリクエストで爆撃された場合、他のAppleユーザーはそう幸運ではないかもしれません。

攻撃者は、Appleの「パスワードを忘れた？」ページを通じてパスワードをリセットしようとする際、そのApple IDにログインしているすべてのAppleデバイスに正規の通知を送信する「Appleのシステムのバグ」を悪用しているようです。この簡素な攻撃には、電話番号とメールアドレス以外の多くの情報は必要とされていませんが、Appleのシステムでは、いずれかのリクエストが許可されることを期待して、誰かがパスワードリセットを繰り返し要求できます。

その後、ユーザーは「Appleサポート」からのフォローアップの電話を受け、「アカウントが攻撃されているため、一度限りのコードを確認する必要がある」と告げられます（この電話はApple自身のサポート番号から発信されているように偽装されています）。攻撃者がそのコードを受け取ると、あなたのパスワードをリセットしてApple IDに侵入することができます。

あるユーザーは、Apple Watchに表示された同様のアラートが怪しいと感じたため、自身のApple IDのリカバリーキーをオンにしました。これは「アカウントのセキュリティを向上させるために、パスワードをリセットしてアカウントへのアクセスを回復する際の制御を強化する、ランダムに生成された28文字のコード」です。しかし、リカバリーキーは攻撃者がApple IDのパスワードを変更することを難しくするはずですが、通知が届くのを止めることはできません。

Appleが修正策を出すまで、最善の対策は、自分が開始していない任意のパスワードリセット通知を繰り返しキャンセルするか、「許可しない」をタップすることです。そして常に、Appleを名乗る人から二要素認証コードを求められても、決して教えないでください。

まとめ

Apple IDを狙った「プッシュ爆撃」フィッシング攻撃は、二要素認証通知を繰り返し送信することでユーザーを欺こうとします。この攻撃は、Appleの「パスワードを忘れた？」機能のバグを悪用し、攻撃者が電話番号とメールアドレスを使用して正規のパスワードリセット通知を送信できるようにします。Appleが修正策を講じるまで、ユーザーは自分が開始していないパスワードリセット通知をキャンセルするか、許可しないを選択し、二要素認証コードを第三者に決して教えないことが最善の対策です。

では、最後に本記事の内容をサクッとまとめてお別れとなります。

簡単まとめ

Apple IDを狙った「プッシュ爆撃」フィッシング攻撃では、攻撃者が二要素認証通知を繰り返し送信し、ユーザーのパスワードリセットを促します。
攻撃者はAppleの「パスワードを忘れた？」機能のバグを利用し、正規の通知をすべてのデバイスに送信できるようにしています。
ユーザーは、自分が開始していないパスワードリセット通知をキャンセルするか「許可しない」を選択し、二要素認証コードを第三者に教えないことで自身を守ることができます。

この記事を少しでもためになった！と思ったならコメントやSNSでみんなにシェアをしていただけるととても励みになります！これからも、ガジェットの情報発信していきますので、サイトをお気に入りやブックマークに入れていただけると、とっても嬉しいです(‘ω’)ノ。

ではでは、最後までご覧いただきありがとうございました。