Avast Softwareは4月29日(米国時間)、「What is MFA bombing? Apple users were targeted using this phishing technique」において、Apple IDを乗っ取ろうとする多要素認証消耗攻撃(別名:MFA Bombing、MFA Fatigue Attack)とソーシャルエンジニアリング攻撃を併用する攻撃に注意を呼びかけた。
多要素認証消耗攻撃とは
多要素認証消耗攻撃とは、アカウント認証の追加のセキュリティ層として利用される多要素認証(MFA: Multi-Factor Authentication)を突破する攻撃手法の一つ。攻撃者は認証等の操作を繰り返し実行し、標的のデバイスに承認通知を絶えず送信し続ける。被害者が繰り返し送られてくる通知のキャンセル操作に疲れ果て、操作を誤り許可することを期待した攻撃手法となる。
Apple IDの乗っ取り
今回確認された攻撃では、初めに被害者のiPhoneにパスワードリセットを許可するか確認する通知が表示されるという。これは、攻撃者が被害者のApple IDのパスワードリセットを繰り返し試みていることを意味している。
被害者が何度か「許可しない」を選択していると、次に「Apple担当者」を名乗る攻撃者から電話がかかってくる。この時、本物のAppleサポートの電話番号が表示されるが、この電話番号は偽装可能とされる。電話に応じると攻撃者は「あなたのアカウントが攻撃を受けている。ワンタイムパスワードを検証する必要がある」と説明し、デバイスに送付されるワンタイムパスワードの提供を求めてくる。被害者が指示に従いワンタイムパスワードを伝えると、アカウントを乗っ取られる。
対策
Avast Softwareはこのような攻撃を回避するために、次のような対策を推奨している。
- 要求していない承認通知には必ず「許可しない」を選択する。表示が繰り返される場合は攻撃されている可能性が高いため、Appleへ報告することが推奨されている
- ワンタイムパスワードや個人情報などを求める電話には注意する。表示された電話番号が正規の電話番号であっても信用しない
- 会話している相手の身元を確認する。違和感がある場合は電話を切り、公式の電話番号にかけ直す
- Appleが推奨する「recovery key」などの追加のセキュリティ層を設定する(参考:「Set up a recovery key for your Apple ID - Apple Support」)
最後にAvast SoftwareはAppleに対し、承認通知に上限を設けることを要求している。上限のないパスワードリセットの通知や多要素認証の通知は攻撃者の武器になるだけでユーザーには利益がない。このような攻撃を抑制するために、時間あたりの通知回数に上限を設けることが望まれている。