Appleデバイスの「パスワードをリセット」通知にご用心。アカウント乗っ取りを防ぐには?
もし、iPhone、iPad、またはMacを集中して使っているときに、突然ポップアップ通知が表示され、Apple ID のパスワードをリセットするよう求められたら、誰でも心配になるでしょう。しかし、実際にこれが起こっているのです。 もしあなたにそれが届いたら、慎重に行動する必要がありますが、パニックに陥る必要はありません。
Apple ID パスワードリセット攻撃の裏側
セキュリティ専門家であるKrebs on Securityによると、悪意のある人物が、Appleユーザーに対して「パスワードリセットのリクエストをスパムすることで攻撃している」とのこと。 これらのポップアップは、「許可する」または「許可しない」のオプションで閉じたり操作しない限り、消えません。 つまり、デバイスを使用し続けるためには、常に「許可しない」をタップし続ける必要があります。 これらのポップアップ自体には必ずしも悪意があるわけではありません。これは、Appleが信頼されていないデバイスやウェブ上でApple IDのパスワードを変更できるようにするための仕組みです。 たとえば、Apple IDのパスワードを忘れてAppleのパスワードリセットウェブサイトからリセットしようとすると、適切な情報を入力したあと、Appleはリセットプロセスを承認するために信頼できる接続されたデバイスにポップアップを送信します。承認すると、新しいパスワードを入力できます。 しかし、悪意を持って攻撃を仕掛けようとする者は、AppleのMFA(多要素認証)プロセスの脆弱性を悪用して、これらのリセットポップアップをデバイスに送信するだけでなく、大量にスパムのように送ってくるのです。 ポップアップを閉めても、またすぐに別のポップアップが表示されることがあります。 ある被害者は、ポップアップが止まるまでに100回以上これらのポップアップを閉じなければなりませんでした。 攻撃者がどうやってユーザーにポップアップをスパム送信しているかは正確にはわかりませんが、攻撃者がどのように被害者を標的にしているかを想像することは難しくありません。 Appleのパスワードリセットサイトにアクセスすると、Apple IDと電話番号を提示する必要があります。 攻撃者がこの2つの認証情報を知っていれば、リセットポップアップを好きなだけトリガーすることができます。 もちろん、「許可する」を押したくありません。 押すと、攻撃者があなたの代わりにパスワードを変更できるようになってしまいます。 そうすると、彼らは自分のデバイスであなたのアカウントにログインして、あなたを締め出すことができてしまいます。 スパムのように送られてくるポップアップの「許可する」をタップしてしまう可能性があることだけでも十分に恐ろしいですが、さらに心配なのは、ポップアップがApple Watchにも表示されることです。 Krebs on Securityによると、ある被害者は睡眠中、Apple Watchにポップアップが表示されました。半分眠っている間に通知を消そうとして、うっかり「許可する」をタップしてしまう可能性があります。