Buipe

過去1ヶ月間、iPhoneはApple IDのパスワードを何回尋ねましたか？過去数週間以内にiOS 11やその他のソフトウェアアップデートにアップグレードした場合、おそらく複数回尋ねられたことでしょう。iOSは、アプリやアプリのアップデートをダウンロードする際、ソフトウェアアップデートをダウンロードする際、ユーザーのiCloudアカウントを再認証する際などに、ユーザーにApple IDのパスワードの再入力を求めます。これは通常の動作であるため、私たちの脳は、このポップアップが表示されると、二度と考えずにApple IDのパスワードを入力するように訓練されています。

結局のところ、これはハッカーがフィッシング攻撃に悪用できる、かなり重大な脆弱性です。開発者のFelix Krause氏が詳細なブログ記事で解説しているように、不正アプリはiOSがパスワード入力を求める際に表示されるシステムダイアログボックスに酷似したダイアログボックスを表示できます。この偽のダイアログボックスには、ユーザーのApple IDが表示され、パスワードの入力を求められます。

ユーザーはこのダイアログボックスを頻繁に表示することに慣れているため、パスワードを入力してしまい、知らないうちにハッカーにパスワードが共有され、Apple ID全体にアクセスされてしまう可能性があります。ハッカーがApple IDのパスワードにアクセスすると、iCloudアカウントにアクセスしてメールを読んだり、連絡先、写真、カレンダー、メッセージなどにアクセスしたりできるため、致命的な被害に遭う可能性があります。

フィッシング攻撃から身を守る方法

幸いなことに、このようなフィッシング攻撃から身を守るのはかなり簡単です。最も重要なのは、Apple IDで2ファクタ認証を有効にすることです。これにより、Appleデバイスに物理的にアクセスしない限り、誰もあなたのApple IDにアクセスできなくなります。

ロック画面、ホーム画面、標準の iOS アプリでパスワード ダイアログが表示されても問題はありませんが、サードパーティ アプリでこのようなポップアップが表示される場合は特に注意してください。

ここでは、そのような攻撃から身を守るため、Felix Krause 氏が共有したヒントをいくつか紹介します。

ホームボタンを押して、アプリが終了するかどうかを確認します。

アプリが閉じられ、ダイアログも閉じられる場合は、フィッシング攻撃です。

ダイアログとアプリがまだ表示されている場合は、システムダイアログです。これは、システムダイアログがiOSアプリの一部ではなく、別のプロセスで実行されるためです。

ポップアップに認証情報を入力せず、ポップアップを閉じて設定アプリを手動で開きましょう。これは、メール内のリンクをクリックせず、ウェブサイトを手動で開くのと同じ考え方です。

ダイアログで「キャンセル」ボタンを押しても、アプリはパスワードフィールドの内容にアクセスします。最初の文字を入力した後でも、アプリは既にパスワードを取得している可能性があります。