最近、アップルのパスワード機能のバグらしきものを悪用し、iPhoneを乗っ取ろうとするハッカーの攻撃が相次いでいると報じられています。

この攻撃は「iPhoneをApple IDのリセットに使いますか？」という通知から始まるもの。その後、同じ通知が何十回も届きますが、特に厄介なのは、全てに対して「許可しない」と選ぶ必要があることです。選択肢をタップしないかぎり、iPhoneは実質的に使いものにならなくなります。

より怖いのは、間違って「許可する」ボタンを押してしまうこと。そうなれば、この攻撃を仕掛けたハッカーがパスワードをリセットした後、Apple IDを完全に乗っ取ってしまいます。

複数のアップル製品を持っている場合、通知がそれら全てに表示されるため、さらに迷惑なものになります。例えば「Ken」という人物は、Apple Watchに表示されたとき「許可しない」ボタンを押すために下にスクロールする必要があったと語っています。

これらを「許可しない」ではね除けた後も、アップル公式サポートと名乗る人物が電話を掛けてきたと複数の人物が語っています。そこでアップル公式に問い合わせたところ、顧客から連絡を取らない限り、こちらから電話を掛けることはないと回答したそうです。

こうした攻撃は、一般的にMFA（多要素認証）疲労攻撃と呼ばれます。ハッカーがなんらかの手段で入手したIDとパスワードを使ってログインすると、正規ユーザーのもとに認証要求が送られます。それを繰り返すうち、正規ユーザーが疲れ果てて「許可する」を押すことを待つというもの。

このパスワードリセット攻撃がiOSのバグによるものかどうかは、今のところ不明です。ともあれ、うっかり「許可します」を押したり、アップルを名乗る人物から電話が掛かってきても、個人情報を渡さないよう気をつけたいところです。