Apple IDのリセットを狙った新たな多要素認証(MFA)攻撃が発生しており、ユーザーのデジタルアイデンティティなどを詐取する攻撃が実行されています。起業家のParth Patel氏のTwitter/Xへの最近の投稿では、Patel氏のスマートフォンに100件を超えるApple IDのパスワードのリセットを求めるリクエストが殺到した経験談が紹介されています。
この攻撃では、昨年から見られているサインインの確認をするプッシュ通知をスマホに頻繁に表示させ、ユーザーに誤って「はい」と答えさせてしまう、いわゆる多要素認証疲労攻撃と同様の手法が使用されています。標的のユーザーに何度もリクエストを送り付け、誤ってパスワードのリセットを許可させるように仕向けています。
このような攻撃は多くは発生していないため、ユーザーに警告して注意を促すほどではないように思われるかもしれません。しかし、サイバー攻撃者によって、Apple IDを狙ったデジタルアイデンティティの窃取というニッチな戦略まで確立されるようになるほど、サイバー犯罪のエコシステムは成熟しているのです。
これらの攻撃は他にも確認されています。Brian Krebs氏がセキュリティブログを公開しているKrebs on SecurityではITプロフェッショナルを狙った別の同様の攻撃が取り上げられており、今後もこのような攻撃が繰り返される可能性があると指摘しています。
新しいスタイルの先進的なセキュリティ意識向上トレーニングでは、このような攻撃への対応も習得することができます。不審な点があった場合、ユーザーは警戒心を高め、安易にクリックなどの操作を実行せず、直ちに報告する必要があります。
多要素認証を突破する「MFA爆弾」と同じように、リセットをリクエストする画面に騙されることなく、悪意のある操作が実行されないようにしなければなりません。
KnowBe4のセキュリティ意識向上トレーニングは、従業員のセキュリティ意識を高め、日々求められるセキュリティ上の判断に従業員一人ひとりが的確な意志決定を下すことを可能にします。世界の6万5千社を超える企業や団体がKnowBe4を採用して、防御の最終ラインとして「人」による防御壁を構築して、セキュリティカルチャーの形成につなげています。
原典:Stu Sjouwerman著 2024年4月4日発信 https://blog.knowbe4.com/apple-users-become-targets-of-mfa-attacks
