AirTag
James D. Morgan via Getty Images

アップルの忘れ物トラッカーAirTagには、誰かが落としたAirTagをNFC対応のスマートフォン(iPhone以外のAndroid端末も含む)でスキャンすると持ち主の連絡先が分かるという機能が実装されています。

この機能がフィッシング詐欺に悪用される可能性があることが、セキュリティ研究者のレポートにより明らかとなりました。

AirTagが紛失モードに設定されると、「https://found.apple.com」以下にて一意のURLが生成され、そこにAirTagの持ち主が、電話番号またはメールアドレスなどの連絡先が入力できます。

そのAirTagをスキャンした人は持ち主の連絡先が分かるURLに自動的に誘導されるという仕組み。連絡先を見るためにログインしたり個人情報を入力する必要はありません。

@bobbyrsec

セキュリティ研究者KrebsOnSecurity氏によると、この紛失モードではユーザーが任意のコンピュータコードを電話番号フィールドに入れ込むことを防止できないため、AirTagをスキャンした人は、偽のiCloudログインページや他の悪意のあるサイトにリダイレクトされる可能性があるとのこと。

そこでAirTagの情報を見るために個人情報が必要ないことを知らない人が、騙されてiCloudのログイン情報やその他の個人情報を提供してしまったり、リダイレクト先でマルウェアをダウンロードしてしまう可能性がある、というわけです。

AirTagの紛失モードが悪用される可能性は、以前も指摘されていました。が、そちらではAirTagを改造する必要があり、一定の技術が必要でした。対して今回の手口は「アップル公式に用意された入力欄にコードを挿入しておく」だけであり、より危険性は高いと思われます。

この脆弱性は、もともとセキュリティコンサルタントのBobby Raunch氏が発見したとのこと。Raunch氏は「このような消費者向けの小型追跡デバイスが、低コストで武器になるような例は記憶にありません」と述べています。

Raunch氏は6月20日にアップルに連絡を取り、3ヶ月もの調査ののち、ようやく先週に今後のアップデートでこの脆弱性に対処すると伝え、公の場でこの件について話さないように求めたとのこと。

しかしアップルはRaunch氏に賞金を出すかどうか、バグ報奨金プログラムの資格があるかどうかの質問に答えなかったため、KrebsOnSecurity氏を通じて情報が共有されたとの事情が説明されています。

KrebsOnSecurity氏はこの脆弱性を「善きサマリア人」(新約聖書中のルカによる福音書10章25節から37節にある、サマリア人が半死半生の人を助けた話)攻撃と呼び、善意の行動を取った人が危険に晒されると示唆しています。

AirTagの忘れ物追跡ネットワーク自体も、アップル製品を愛用する人々の善意に支えられているだけに、アップルには早急な対応を望みたいところです。

Source:KrebsOnSecurity

via:MacRumors