中国政府は、いわゆる中間者攻撃を仕掛け、何の疑いも持たないユーザーを本物のiCloud.comのウェブサイトに驚くほど似ている偽のウェブページにリダイレクトすることで、何百万人もの人々のiCloud認証情報をフィッシングしていると、Great Fireが月曜日に報じた。
偽のウェブフォームにユーザー名とパスワードを入力したユーザーは、iMessageの通信内容、写真、連絡先、リマインダー、カレンダーなど、Apple IDに関連付けられた個人情報が第三者に漏洩するリスクがあります。この問題は、中国で人気のブラウザ「Qihoo」が偽のウェブサイトにアクセスしていることをユーザーに警告しないことでさらに深刻化しています。
この全国的な攻撃は、本日中国でiPhone 6とiPhone 6 Plusが発売された時期と重なっています。Great Fireは、「これは明らかにAppleに対する悪意のある攻撃であり、ユーザー名とパスワード、そしてiCloudに保存されているiMessage、写真、連絡先などのすべてのデータへのアクセスを狙っています」と報じています。
中間者攻撃は、被害者との独立した接続を利用し、あたかも安全な接続を使用しているかのようにメッセージを中継します。同様の攻撃がMicrosoftのlogin.live.comウェブサイトも標的にしていると言われています。
中国のユーザーはいくつかの方法でこの問題を軽減できます。
- プライバシー保護機能が組み込まれており、フィッシング Web サイトにアクセスしようとしたときにユーザーに警告する Safari、Chrome、Firefox などの Web ブラウザを使用します。
- デバイス上で VPN 接続を作成し、iCloud.com に直接接続します。
- iCloud 資格情報と、ユーザーの信頼できるデバイスにプッシュされる 1 回限りの 4 桁のコードの両方を必要とする 2 要素認証で Apple ID を保護します。
報告書では、13億3000万人の市場で人気が高まっているアップルに対し、中国政府がなぜこのような攻撃を仕掛けるのかは説明されていない。
一方、AppleがiOS 8と最新デバイスのセキュリティを強化したことを受けて、米国やその他の国の政府は非常に懸念を強めており、おそらくこれは中国政府がAppleユーザーのセキュリティ強化に反応した方法なのだろう。
いずれにせよ、まだ Apple ID の 2 要素認証を有効にしていない場合は、有効にすることを心からお勧めします。その方法は次のとおりです。
2 要素認証を使用すると、ユーザーが知っている情報 (パスワード) とユーザーが所有している情報 (デバイス) が結合され、ソーシャル エンジニアリングやその他の手段で誰かがユーザー名とパスワードを盗んだ場合に、頭痛の種を大幅に減らすことができます。
[GreatFire、The Verge経由]
