ウェズリー・ヒリアード
· 2分で読めます
Appleのパスワードはユーザーを標的型フィッシング攻撃の危険にさらしていた
パスワード アプリが導入された iOS 18 から iOS 18.2 アップデートまで、ユーザーが特権ネットワーク上の悪意のある人物にパスワードを公開する可能性はありましたが、安全である可能性は高いです。
Appleは2024年9月に新しいパスワードアプリを搭載したiOS 18をリリースしましたが、リンクを開いたりアイコンを取得したりする際に、HTTPSではなく安全性の低いHTTPプロトコルに依存していました。つまり、特権ネットワーク上の悪意のある人物がHTTPリクエストを傍受し、ユーザーを偽のウェブサイトにリダイレクトしてログイン情報を取得する可能性がありました。
セキュリティ調査会社Myskはこの問題を発見し、9月にAppleに報告しました。パスワードアプリは12月にiOS 18.2で修正されました。つまり、この脆弱性は3ヶ月間、実際に存在しており、iOS 18.2より前のリリースを使用しているユーザーにも引き続き存在していたことになります。
Appleは、この脆弱性とパッチを2025年3月17日まで公表しませんでした。この脆弱性は9to5Macによって発見されました。これは、まだアップデートしていないユーザーを保護し、一定の閾値に達するまで問題を隠蔽するためだったと考えられます。
iOS 18.2より前のバージョンをお使いの方は、早急にアップデートしてください。ただし、攻撃ベクトルの特殊性から、この脆弱性が悪用される可能性は極めて低いと考えられます。
Apple パスワード アプリ経由でパスワードを公開するには、ユーザーは次のことを行う必要があります。
- コーヒーショップや空港など、悪意のある人物がいる可能性のある Wi-Fi ネットワークに接続します。
- 悪意のある行為者は脆弱性を認識し、積極的にそれを悪用しようとする必要があります。
- ユーザーは、Apple Passwords を開いてパスワードを開き、アプリ内のリンクをタップして、Passwords アプリからのログインにリダイレクトする必要があります。
- 悪意のある人物はこれを探してトラフィックを傍受し、アクセスしようとしている Web サイトの偽のログイン ページと置き換える必要があります。
パスワードアプリは、自動入力機能を使ってアプリやウェブサイトにログインする際には脆弱性がありませんでした。アプリからログインページを起動した場合にのみ脆弱性が発生しました。
悪意のある攻撃者が侵入したネットワーク外でのパスワードアプリの一般的な使用は、HTTPリクエストが自動的にHTTPSに301リダイレクトされるため、無害です。この脆弱性が悪用される可能性は低いと考えられます。
パスワードアプリの脆弱性への対処法
この脆弱性が少しでも心配な場合は、今日からできる対策がいくつかあります。最も分かりやすいのは、すべてのデバイスのオペレーティングシステムを最新バージョンにアップデートすることです。
パスワードアプリの使い方を思い出してください。パスワードを変更したことも、パスワードアプリのリンクを使ってログインしようとしたことも、それが可能だとすら知らなかったことさえあれば、問題ありません。
それでも不安な場合は、特に重要なアカウントのパスワードを変更することをお勧めします。銀行口座、メール、仕事用アカウントなど、重要なアカウントのパスワードを更新しましょう。
