となりずむ

Appleを理解して翻訳する。それが「t0nAr1sm(となりずむ)」

トップ > OS / ソフトウェア/ファームウェア/セキュリティ > iCloudを狙う偽サイト1,500件、2段階認証突破の手口と対策

iCloudを狙う偽サイト1,500件、2段階認証突破の手口と対策

OS / ソフトウェア/ファームウェア/セキュリティ 特許・研究・規制ウォッチ

暗い室内でiPad用のMagic Keyboardをタイピングする手元。バックライトキーボードの文字が白く光っている様子

✅この記事では、iCloudのバックアップを標的にした大規模フィッシング作戦の中身と、日本にいる自分たちにも効く具体的な守り方を整理します。2段階認証までリアルタイムで突破してくる手口に対して、高度なデータ保護(ADP)物理セキュリティキーがなぜ効くのか、設計の理屈まで踏み込んで見ていきます。

 

 

どうも、となりです。

iCloudの話なんですが、今回はちょっと背筋が伸びるタイプのニュースです。Access Now・Lookout・SMEXの共同調査で、約1,500件もの偽Appleページを使ってiCloudバックアップを丸ごと奪い取る作戦が動いていたことが明らかになりました。標的は中東・北アフリカのジャーナリストや活動家、政府高官が中心ですが、英米の関係者も対象に含まれていたと報じられています。

「自分は関係ないな」で終わらせたくなる話なんですが、使われている手口は一般ユーザーが踏んでも同じように成立するタイプのものなんですよね。だからこそ、何が新しいのか、どこで防げるのかを整理しておく価値があります。

要点まとめ:iCloudバックアップを狙う新しい現実

今回の作戦は、単なる「パスワード盗難」ではなく、2段階認証コードとセッションまで丸ごと奪う中間者攻撃に進化しています。Appleの端末側セキュリティが硬くなったぶん、相対的に弱いクラウド入口が狙われている、という構図です。

  • インドのハッカー集団「Appin」の派生とされるBITTER APTが、約1,500件の偽Appleドメインで精巧なフィッシングサイト群を運営
  • 標的は中東・北アフリカのジャーナリスト・活動家・政府高官が中心で、英国・米国の関係者も対象に含まれる
  • 偽サイトでApple ID・パスワード・リアルタイムの2段階認証コードを入力させ、本物のiCloudに自動転送してセッションCookieごと奪取する中間者攻撃
  • 端末側のSecure Enclaveが硬いため、攻撃者は相対的に弱いクラウド(iCloud)入口を狙う傾向にシフト
  • 対策の本丸は高度なデータ保護(ADP)物理セキュリティキー(FIDO)の2つ
  • 確認された偽ドメイン例:facetime-web[.]me-en[.]io / apple[.]id-us[.]cc / icloud[.]com-ar[.]me / signin-apple[.]com-en-uk[.]info など
パスワードと2FAだけではもう防ぎきれない段階に入っています。iCloudに重要なデータを預けている人ほど、ADPの有効化と物理セキュリティキーの併用を前向きに検討する価値があります。

詳細解説:なぜ「端末は硬いのにiCloudが狙われる」のか

ここ、ちょっと引っかかるところだと思うんです。iPhoneはSecure Enclaveという独立したセキュリティチップを積んでいて、パスコードの総当たり攻撃は事実上通らない設計になっています。なのに、なぜiCloud経由の侵入が狙われるのか。

理由はシンプルで、端末が硬くなればなるほど、攻撃の重心は「クラウドに預けられた同じデータ」に移るからです。iCloudバックアップにはメッセージ履歴・写真・デバイスの設定・アプリデータまで幅広く含まれていて、端末を物理的に奪わなくても、Apple IDさえ通れば中身にたどり着ける。攻撃者から見れば、硬い金庫(iPhone本体)を割るより、合鍵(iCloudログイン)を本人から受け取るほうが安上がりなんですよね。

今回の手口で怖いのは、偽サイトが入力された2段階認証コードを自動スクリプトで本物のiCloudに即転送し、ログイン状態(セッションCookie)そのものを奪ってくる点です。つまり、強力なパスワードを使っていても、2段階認証を有効にしていても、リアルタイムで中継されたら一緒に突破される。従来の「パスワードを強くしよう」「2段階認証を入れよう」というアドバイスが、ここで一段階崩れます。

Appleは旧iOSを標的にした高度な攻撃に対して異例の警告を出すようになっていて、iOS 18系にも例外的なセキュリティ修正を配っている流れがあります。端末側のガードを固める路線は継続しているんですが、クラウド入口の脆さは端末アップデートだけでは塞げない、というのが今回のポイントです。

注目したいポイント:ADPは「オプション」のままでいいのか

ここで効いてくるのが、高度なデータ保護(ADP)です。ADPを有効にすると、iCloudに預けたデータの復号鍵がユーザーのデバイス内のみで管理されるエンドツーエンド暗号化に切り替わります。仮にApple IDが突破されてiCloudに侵入されても、データの中身は解読できない設計です。

ただし、ここは素直に引っかかる部分なんですが、ADPを入れても「iCloudメール」「連絡先」「カレンダー」はエンドツーエンド暗号化の対象外です。これは意地悪で外しているわけじゃなくて、メールやカレンダーはIMAP・CalDAVといった業界標準の相互運用プロトコルと接続する必要があって、そこを閉じると「他のメールサービスや他社カレンダーと普通にやり取りする」という体験が壊れるからなんですね。Appleは利便性とのトレードオフとして、この3つを意図的に標準暗号化ゾーンに残している格好です。

もうひとつの本命が物理セキュリティキー(FIDO)です。これが効く理屈は、フィッシング対策として筋がいいんですよね。FIDOキーはドメインを暗号学的に検証する仕組みで、偽サイトのURLに対しては原理的にキーが応答しない。どれだけ精巧に作られた偽Appleログイン画面でも、キー側が「これは本物のApple IDのドメインじゃない」と判断した時点で認証が成立しないわけです。人間の目では見分けがつかない1,500件の偽ドメインも、キーにとってはただの別物として弾かれる。

そのうえで、海外では「ADPはデフォルトであるべきだ」という議論が出ています。確かに、デフォルトON化は大多数のユーザーを一気に守る反面、復元用連絡先や復旧キーを事前に設定していないと、Apple IDのパスワードを忘れた瞬間にデータが完全に失われるリスクが跳ね上がります。Appleがオプトインで留めている背景には、この「鍵をなくしたら二度と開かない」設計をうっかり踏ませないための配慮があるはずで、ここは単純に「デフォルト化すべき」と言い切るより、有効化と同時に復旧手段をガイドするUI側の工夫のほうが現実的だとぼくは感じています。

日本のユーザーにとって何が意味するか

日本で使っているぶんには、中東・北アフリカの標的型攻撃は直接は関係ない、と思いがちです。ただ、今回使われた「偽Appleログイン → リアルタイム2段階認証中継 → セッション奪取」というパターンは、日本語の偽Appleメール経由でも再現できる普遍的な手法です。国家案件の規模でなくても、汎用ツール化されれば一般ユーザーに降りてきます。

しかも日本では、ADPも物理セキュリティキーもすでに利用可能で、設定さえすれば今日から使える話なんですよね。「Appleの設定の奥のほうにあってよくわからない」で止まっているだけで、機能自体は揃っている。ここは知っている人と知らない人の差が、そのまま被害リスクの差になります。

 

 

海外の反応:ADPのデフォルト化と、FIDOへの期待

現地の議論は、対策の非対称性に集まっています。

"This is why Advanced Data Protection should be the default, not an opt-in feature. Most users have no idea their backups are vulnerable to simple phishing if they don't flip that switch."

「これこそが、高度なデータ保護がオプションではなくデフォルトであるべき理由だ。スイッチを入れなければ、バックアップが単純なフィッシングに対して脆弱だということに、ほとんどのユーザーは気づいていない。」

— 9to5Mac コメント欄

"The real-time 2FA bypass is scary. If they are intercepting the session cookie, even a strong password won't save you. Physical FIDO keys seem like the only real solution left."

「リアルタイムの2FAバイパスは恐ろしい。セッションCookieを傍受されているなら、強力なパスワードでさえ救いにならない。物理的なFIDOキーが残された唯一の真の解決策に見える。」

— Reddit(r/Apple)

となりの見方:「ADPをデフォルトに」という声はすごくわかるんですが、復旧キーの事前設定が甘いまま全員ONになると、今度はロックアウト事故が量産されかねないんですよね。Appleが慎重なのは、鍵を預からない設計の副作用を一番よく知っているからだと思います。FIDOキーへの期待は妥当で、ここは「強い人だけの選択肢」から一般向けのUIへ降ろしてくることが次の宿題です。

ひとこと:2FAを過信しない時代の入口

「2段階認証を入れたからもう安心」という感覚、今回の件でちょっと揺らぎます。リアルタイム中継が現実に動いている以上、コードベースの2段階認証は万能ではなく最低限、という位置づけに近づいています。そのうえで、ADPでデータ自体を読めなくする、FIDOでドメイン偽装を原理的に跳ね返す、という二層構えに切り替えるのが、ここからの自然な流れだと受け止めておきたいところです。

まとめ:今やっておくべき2つの設定

今回の事件で見えたのは、Appleの端末側が硬くなったことでクラウド入口に攻撃が流れ、2段階認証すらリアルタイムで突破される段階に入った、という現実です。防ぐ側の答えは、だいぶシンプルに絞られてきました。

  • iCloudに重要なデータを預けているなら、高度なデータ保護(ADP)の有効化を前向きに検討する(ただし復旧キー・復元用連絡先の設定を必ずセットで行う)
  • Apple IDを本気で守りたいなら、物理セキュリティキーをApple IDに登録しておく(偽サイトは原理的に弾ける)
  • Apple公式ドメイン以外からの「iCloudログイン確認」「Apple IDの確認」メールは、URLを絶対に直接クリックしない

すべての人がフル装備する必要はないけれど、自分がどこまで守りたいかに応じて段階的に選べるのが今のAppleの設計です。今回の事件は、その選択を先送りにしないためのいい合図だと思います。

ではまた!

Yubico セキュリティキー YubiKey 5C NFC USB-C/FIDO2/WebAuthn/U2F/2段階認証/高耐久性/耐衝撃性/防水

Yubico セキュリティキー YubiKey 5C NFC USB-C/FIDO2/WebAuthn/U2F/2段階認証/高耐久性/耐衝撃性/防水

  • Yubico

Apple IDに登録しておけば、今回のような精巧な偽サイトもドメイン検証で原理的に弾けるため、iCloudを本気で守りたい人の現実解になります。

Amazon

Source:9to5Mac

お問い合わせ
プライバシーポリシー コンテンツ制作ポリシー
©t0nAr1sm.