iPhoneやApple Watchを襲う「MFA爆弾」相次ぐ　パスワードリセット通知を大量送付、乗っ取りを狙う

　他人のiPhoneやApple Watchを狙ってパスワードのリセット通知を大量に送り付けるフィッシング詐欺攻撃が相次いで報告されている。「MFA爆弾」「MFA疲労」（MFA：多要素認証）と呼ばれる洪水のような通知は一度始まったら止める術がなく、Appleを装う相手にだまされてアカウントを乗っ取られる恐れもある。

【その他の画像】

　「私のApple端末が全て、パスワードリセット通知で爆破された。Appleのシステム（を装った）通知（原文は「Apple system level alerts」）だったので、100件以上の通知で『許可しない』をクリックするまで、電話もウォッチもラップトップも使えなくなった」

　そう伝えたのは起業家のパース・パテルさん。友人も同じような被害に遭っていることから起業家や創業者が狙われていると判断し、Xで情報を共有した。

　大量の通知から15分ほどすると、今度はAppleのサポートをかたる相手から電話がかかってきたという。画面に表示されたのはAppleの公式サポートの電話番号。発信者電話番号を偽装する手口が使われたらしい。

　不審に思ったパテルさんが、確認のために自分の電子メールアドレスや住所などを尋ねると、相手は正確に答えたという。しかし名前だけが違っていたことからパテルさんは、相手が人名検索サイト「People DataLabs」で販売されていた自分の情報を持っていると確信した。

　電話の相手はワンタイムパスワードを教えるようパテルさんに要求してきたという。「もし最初のリセット通知スパムを許可するか、このコードを共有していたら、ハッキングされていただろう」とパテルさんは言う。

●多要素認証の弱点を悪用か

　サイバーセキュリティ調査報道サイト「Krebs on Security」によると、パテルさんを襲ったのは多要素認証（MFA）システムの弱点を突く「プッシュ爆弾」「MFA疲労」と呼ばれる攻撃だった。

　攻撃者は大量のパスワードリセット通知を送り付けた後、Appleのサポートになりすまして電話をかけ、アカウントが攻撃を受けていると主張して「確認」のためのワンタイムパスワードを教えるよう要求していた。

　攻撃者の狙いは、ワンタイムパスワードを含むApple IDのリセットコードをユーザーの端末に送信させ、そのコードを提供させることにある。攻撃者がこれを使えばパスワードをリセットしてそのユーザーのアカウントから本人を締め出すことができ、遠隔操作でそのユーザーのApple端末を全て消去することも可能になる。

　Krebs on Securityは、他にも、パテルさんと同じようにパスワードリセット通知が大量に届く被害に遭ったユーザーの体験を紹介している。

　1人は怖くなってパスワードを変更し、Appleストアで新しいiPhoneを購入したところ、すぐに新しいiPhoneにもパスワードリセットをリクエストする通知が届いたという。もう1人はApple Watchで夜中に音が鳴らない設定にしていたにもかかわらず、通知で目が覚めたと話している。

　MFA疲労攻撃は2022年ごろ、MicrosoftやCiscoなどのユーザーを標的に、アカウントに不正侵入する目的でプッシュ通知を大量に送り付ける手口が横行した。

　Appleに関しては、攻撃者が近くにあるiOSデバイスにシステムレベルプロンプトを無限に送り付け、Apple製品のファイル共有機能「AirDrop」経由でファイルを共有させることができてしまうという問題を19年にセキュリティ研究者が発見。Appleは4カ月後の同年12月にこの問題を修正した。

　AppleはAirDropリクエストのレート制限を厳格化することでこの問題に対処していたという。しかし何者かが、特定の時間内に送信できるパスワードリセットリクエスト通知の件数に関するレート制限をかわす方法を見つけたのではないかと研究者は推測している。