Apple、2ファクタ認証機能でフィッシング攻撃のSMS自動入力をブロック

Apple two-factor authentication
 
Appleは、フィッシング攻撃の可能性のあるSMS経由で送信された2ファクタ認証コードの自動入力のブロックを開始し、SMSのメッセージの形式を変更しました。

フィッシングサイトでの自動入力をブロック

Apple2ファクタ認証コードの自動入力機能は、SMSで送られてくる認証コードを入力する手間が省ける便利な機能です。しかし、ユーザーが、攻撃者によって作成された偽サイトへのリンクをクリックすると、認証コードが自動で入力され、ユーザーがフィッシングの被害を受けてしまう可能性がありました。
 
Appleはこの問題に対処するため、偽サイトにおける自動入力をブロックするより安全な新しいフォーマットで認証コードをSMSで送信するよう企業に呼びかけています。
 
新しいフォーマットでは、Webサイトと2ファクタ認証コードを送信したドメインが一致した場合にのみ、認証コードの自動入力が行われるよう変更が加えられています。例えば、あるWebサイトがapple.comだと主張していても、リンク先がapple.securelogin.comである場合、ドメインが一致しないため、認証コードが自動で入力されることはありません。

2ファクタ認証SMSのメッセージの形式も変更

またAppleは昨年末より、ユーザーがApple IDでログインしSMSを介した2ファクタ認証コードをリクエストした場合に送信するメッセージを以下のように変更しています。
 

あなたのApple IDコードは:123456です。誰にも教えないでください。@apple.com #123456 %apple.com

 
メッセージの形式は、一般的に次のようになります。
 

  • コードを含む人間が読むことができる標準的なメッセージの後に、新しい行が続きます。
  • スコープされたドメインは、@domain.tldの形式で表示されます。
  • コードは#123456の形で再度表示されます。
  • サイトがiframeと呼ばれる埋め込みHTML要素を使用している場合、iframeのソースは、%ecommerce.exampleのように、%の後に記載されています。(もとの仕様では@が指定されていますが、Appleはテキストに%を使用しているようです。)

 
これらの変更は、完璧な解決策ではありません。ユーザーは、自分のデバイスで自動入力機能が働かないことで危険なサイトであると察するしかありません。また、SMS経由で送る2ファクタ認証コードを使用する企業が、新しいフォーマットを採用するかどうかにかかっています。
 
自動入力が行われない場合はドメイン名をよく確認し、リンクをクリックするのではなく自分のブックマークからアクセスするか、URLを直接入力することで、被害に合うリスクを減らすことができます。
 
 
Source:Macworld via 9to5Mac,iMore
(m7000)


Amazonベストセラー

返信を残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

CAPTCHA