Appleユーザーを標的としたサイバー攻撃が報告されている。一般的には、Windowsに比べてAppleの方がウイルスなどのマルウエアは少ないとされてきた。それは、端末の数が少ないためにハッカーにとってメリットが少ないからだと考えられている。しかし、iPhoneの登場以来、Appleの端末も増え、ターゲットになっているようだ。
攻撃の手口は以下のようなことのようだ。Krebs on Securityによると、攻撃はAppleデバイスの何も知らないユーザーに数十ものシステムレベルのメッセージを送り、Apple IDパスワードのリセットを促すことから始まる。これが失敗すると、今度はAppleの従業員を装った人物が被害者に電話をかけ、パスワードを聞き出そうとする。
まずiPhone、Apple Watch、MacBookなどのAppleデバイスすべてに「パスワードをリセットしてください」という通知が表示されるようになる。100回以上表示されたリセット要求メッセージの「許可しない」を連打して退け続けたケースもあるようだ。これについては、私も最近、Apple IDのリセットのメールを見た気がする。面倒なので、誰からきたかも確認せずに削除してしまった。
このケースでパスワードリセットのメールの効果がないと、今度はAppleサポートの公式電話番号になりすました偽のAppleサポートから電話がかかってきた。このなりすましのAppleの偽従業員は、メール、住所、電話番号などの個人情報を知っていた。ただし、氏名は知らなかったようだ。この事例では、そこで攻撃を防いではいる。インターネット上の情報を集めて、個人情報を集約しているようだ。だから、なんであっても個人情報をネットに晒してはいけない。本名でブログを書いている私なども、個人情報が数多くさらされていることだろう。ただし、小物だから何お問題も起きてはいない。
話は脱線するが、ある事件に関して、NHKの記者が自宅に訪ねてきたことがあった。これは、個人名と住所・電話番号のサイトがあるからだ。このサイトには削除依頼ができないので、そのままになっている。NHKは事件に関係した人物から、私の個人名を知り、検索して、自宅住所にやってきたと言うことのようだ。記者に聞いたら、特定の方法については明らかにしてはくれなかった。
話を元に戻する、何らかの方法で手に入れたメールアドレスに、ランダムにメールを送るとApple IDに関連付けられたメールアドレスに当たる確率はゼロではない。そして中には、百回以上も繰り返されるパスワードのリセットの要求に対して、変更を許可してしまう可能性がある。そうなると、Apple IDの情報が抜き取られることになる。また、それは防いでも、巧妙な偽Appleサポートの電話に騙されてしまうこともあり得る。
では、ハッカーはどのようにして必要なデータを把握し、被害者のデバイスにシステムレベルのアラートを送信することができたのだろうか?
Krebs on Securityによれば、ハッカーはおそらく被害者のApple IDに関連付けられたメールアドレスと電話番号を入手してあったようだ。そして、メールアドレスまたは電話番号のほかCAPTCHA認証が必要となるApple IDパスワードリセットの申請フォームを利用して、大量のパスワードリセット通知をシステムレベルで送信したと説明されている。
Appleはこの問題が、システムレベルのバグがあるのかどうか明らかにしていないそうだ。このために、現時点では、この種の攻撃から身を守る確実な方法はないと言う。対策としては、Apple ID が盗まれている可能性を考慮して、Apple IDの資格情報そのものを変更し、紐づける電話番号とメールアドレスを新たに用意すること以外に対策は無いと言う。これは、これで面倒だし、電話番号を変えるのも簡単ではない。新たに携帯番号を取得しなければいけないからだ。とすれば、とりあえずはApple IDのメールアドレスを変えることだろうか。
この攻撃がどの程度広まっているかは定かではないが、Appleユーザーは警戒を怠らず、Appleからのものに見える場合でも、いかなるパスワードリセット要求も無視しなければいけない。たとえ何回も要求されても変更に応じてはいけない。そうしなければ、iPhoneを含む、すべてのAppleの端末から閉め出されてしまう。
教訓としては、ともかくメールアドレスも含めて個人情報はネットに晒さないと言うことと、Apple IDのメールアドレスはなるべく使い回さないものを使用すると言うことかもしれない。
