Apple二要素認証機能でフィッシング攻撃のSMS自動入力のブロック開始

投稿日:

by saki

iOS12から導入されたSMS経由で送信された二要素認証コードの自動入力機能。

Appleは二要素認証機能でフィッシング攻撃の疑いのあるSMS経由で送信された二要素認証コードの自動入力のブロックを開始しました。

二要素認証機能でフィッシング攻撃のSMS自動入力をブロック

SMSを介して配信される二要素認証コードの自動入力は、iPhoneの便利な機能ですが、悪意あるフィッシング攻撃の標的にされることがありました。

ユーザーが攻撃者によってフィッシングリンクに誘導され、WebサイトがSMS経由で二要素認証コードを送信した場合、Appleの二要素認証の自動入力機能によりユーザーがフィッシングの被害を受ける可能性がありました。

Apple

そこでAppleは、Webサイトのドメインと二要素認証コードを送信したドメインが完全に一致する場合のみに、二要素認証コードの自動入力がされるように変更しました。

たとえば、サイトがapple.comの場合、確認コードを要求するフィッシングリンクがapple.securelogin.comであるときはフィッシングの疑いがあるので、自動入力オプションは提供されないことになります。

二要素認証コードが自動入力されないときは、ユーザーの手動入力画面が表示されます。

自動入力されないときは、Webサイトのドメインと二要素認証コードを送信したドメインをよく確認して入力するかどうか判断し、疑わしいときは入力しないように注意が必要です。

参考:MacWorld9to5Mac

関連記事