DIME MAGAZINE
Appleのシステムの問題点
■レートリミットの不具合
セキュリティ専門家のブライアン・クレブス氏は、Appleのシステムが連続的にパスワードリセット通知を送信できること自体が問題であると指摘しています。これは、Appleのレートリミット(送信制限)の不具合を悪用したものと考えられています。(参考:Recent ‘MFA Bombing’ Attacks Targeting Apple Users – Krebs on Security)
・攻撃の背景
この攻撃手法は、「MFAボンビング」とも呼ばれ、多要素認証(MFA)を利用するシステム全般で見られる問題です。攻撃者は、連続的に認証要求を送信し、ユーザーが誤って承認ボタンを押すことを狙います。
■Appleの対応
Appleは、この問題に対する公式なコメントを出しておらず、ユーザーは自己防衛の手段を講じる必要があります。これには、通知を無視することや、Appleサポートに直接連絡することが含まれます。
対策と推奨事項
1. 「許可する」を選ばない
不審な通知が来た場合は「許可する」を選ばず、「許可しない」を選び続けることが重要です。また、不審な電話がかかってきた場合はすぐに通話を切り、公式のAppleサポートに直接連絡してください。
・通知への対処法
通知が連続して届く場合、デバイスを一時的にオフにするか、通知を無効にすることで対処することが推奨されます。ただし、これらは一時的な対策であり、根本的な解決にはなりません。
2. リカバリーキーの設定
Apple IDのセキュリティを強化するために、リカバリーキーを設定することが推奨されます。これは、ランダムに生成された28文字のコードで、Appleの標準的なアカウント回復プロセスを無効にすることができます。
・リカバリーキーの設定方法
リカバリーキーを設定するには、Appleの公式サイトから手順に従って設定を行います。この設定により、アカウントの回復がさらに難しくなるため、セキュリティが強化されます。
3. VOIP番号の使用
Apple IDに登録する電話番号をVOIP番号(例:Google Voice)に変更することも一つの方法です。ただし、iMessageやFacetimeが利用できなくなる可能性があるため、注意が必要です。
・VOIP番号のメリットとデメリット
VOIP番号を使用することで、攻撃者が電話番号を利用して攻撃を行うことが難しくなります。しかし、iMessageやFacetimeなどのサービスが利用できなくなる可能性があるため、ユーザーのニーズに応じた選択が必要です。
4. Appleの公式ガイドラインの確認
Appleは、公式にユーザーに対して一方的に電話をかけることはないと明言しています。疑わしい電話がかかってきた場合は、公式サポートに確認することが推奨されます。
・ガイドラインの確認方法
Appleの公式ウェブサイトで最新のセキュリティガイドラインを確認し、詐欺に対する警戒を怠らないようにすることが重要です。また、定期的にセキュリティ設定を見直すことも推奨されます。
5. 迅速な対応
不審な活動が確認された場合は、速やかにApple IDのパスワードを変更し、必要に応じてAppleサポートに連絡して追加のセキュリティ対策を講じることが重要です。
・パスワード変更の手順
Apple IDのパスワードを変更する際は、強力なパスワードを設定し、二段階認証を有効にすることが推奨されます。また、定期的なパスワードの更新もセキュリティを保つために重要です。
攻撃者の手口は巧妙化しており、被害を未然に防ぐためには常に警戒が必要です。不審な通知や電話が来た際には、冷静に対処し、公式のサポートに確認することが大切です。
文/長谷川貴之
最新号
