もし、iPhone、iPad、またはMacを集中して使っているときに、突然ポップアップ通知が表示され、Apple ID のパスワードをリセットするよう求められたら、誰でも心配になるでしょう。しかし、実際にこれが起こっているのです。

もしあなたにそれが届いたら、慎重に行動する必要がありますが、パニックに陥る必要はありません。

Apple ID パスワードリセット攻撃の裏側

セキュリティ専門家であるKrebs on Securityによると、悪意のある人物が、Appleユーザーに対して「パスワードリセットのリクエストをスパムすることで攻撃している」とのこと。

これらのポップアップは、「許可する」または「許可しない」のオプションで閉じたり操作しない限り、消えません

つまり、デバイスを使用し続けるためには、常に「許可しない」をタップし続ける必要があります。

これらのポップアップ自体には必ずしも悪意があるわけではありません。これは、Appleが信頼されていないデバイスやウェブ上でApple IDのパスワードを変更できるようにするための仕組みです。

たとえば、Apple IDのパスワードを忘れてAppleのパスワードリセットウェブサイトからリセットしようとすると、適切な情報を入力したあと、Appleはリセットプロセスを承認するために信頼できる接続されたデバイスにポップアップを送信します。承認すると、新しいパスワードを入力できます。

しかし、悪意を持って攻撃を仕掛けようとする者は、AppleのMFA(多要素認証)プロセスの脆弱性を悪用して、これらのリセットポップアップをデバイスに送信するだけでなく、大量にスパムのように送ってくるのです。

ポップアップを閉めても、またすぐに別のポップアップが表示されることがあります。

ある被害者は、ポップアップが止まるまでに100回以上これらのポップアップを閉じなければなりませんでした。

攻撃者がどうやってユーザーにポップアップをスパム送信しているかは正確にはわかりませんが、攻撃者がどのように被害者を標的にしているかを想像することは難しくありません。

Appleのパスワードリセットサイトにアクセスすると、Apple IDと電話番号を提示する必要があります

攻撃者がこの2つの認証情報を知っていれば、リセットポップアップを好きなだけトリガーすることができます。

もちろん、「許可する」を押したくありません。

押すと、攻撃者があなたの代わりにパスワードを変更できるようになってしまいます。

そうすると、彼らは自分のデバイスであなたのアカウントにログインして、あなたを締め出すことができてしまいます。

スパムのように送られてくるポップアップの「許可する」をタップしてしまう可能性があることだけでも十分に恐ろしいですが、さらに心配なのは、ポップアップがApple Watchにも表示されることです。

Krebs on Securityによると、ある被害者は睡眠中、Apple Watchにポップアップが表示されました。半分眠っている間に通知を消そうとして、うっかり「許可する」をタップしてしまう可能性があります。

「許可しない」を押しても終わりではない

ユーザーが繰り返し通知を消し続けたとしても、攻撃者は別の手段を持っています。

彼らはあなたの電話番号を持っているので、Appleサポートの番号を装って電話を直接かけてきます(実際の着信者としてAppleサポートの公式番号が表示されます)。

もしもこの電話にでたら、攻撃者はAppleサポートであるかのようにあなたを説得しようとするでしょう。彼らが持っているあなたの個人情報の一部を「証拠」として提示するかもしれません。

彼らがあなたをだますと、SMSベースのOTP(ワンタイムパスワード)コードがトリガーされます。これは、Appleが普段使わないところでログインする際に、あなたの身元を証明するために使用するもの。このコードは、誰とも共有しないでください。

Appleは、あなたに送信するテキストの中にもこの警告を含めています。

そもそも最初から攻撃者と話をするべきではありませんが、もしこのような状況に陥ってしまった場合は、Appleサポート自体がこのコードを要求することは決してないと覚えておいてください。

残念ながら、攻撃者がすでにあなたのApple IDと電話番号を持っている場合、これらのスパムポップアップから自分自身を保護する方法はないようです。

唯一の方法は、電話番号を変更することですが、今回のケースではあまりにも面倒なはずです(しかし、ほかの理由がある場合は、その価値があるかもしれません)。


私たちは、これらの悪質な人物が利用している脆弱性をAppleが修正するのを待つしかありません。その間、誰も信頼せず、未承諾のポップアップで「許可する」をタップしないでください

Appleがついに動く? iOS 18「地図」 アプリに期待すること | ライフハッカー・ジャパン https://www.lifehacker.jp/article/2404apple-might-let-you-change-the-default-navigation-app-in-ios-18/

iPhoneユーザーが知らない、私がAndroidを選ぶ4つの理由 | ライフハッカー・ジャパン https://www.lifehacker.jp/article/2404why-android-is-better-than-ios/

PixelからiPhoneに戻して感じたメリット・デメリット | ライフハッカー・ジャパン https://www.lifehacker.jp/article/2403-gizmodoiphone-again-from-pixel/

Source:Krebs on Security, Apple, X