多要素認証も飛び越えるフィッシング iOS 27の"新たな防波堤"半径300メートルのIT

利用者自身に操作をさせて多要素認証をすり抜けるフィッシングが猛威を振るっている。こうした中、Appleが2026年秋公開予定の「iOS 27」で、人の心理を突く攻撃に対抗する新たな仕組みを用意していることが分かった。

» 2026年07月14日 07時00分 公開
[宮田健ITmedia]

この記事は会員限定です。会員登録すると全てご覧いただけます。

 私が最も警戒しているサイバー攻撃は、以前から「フィッシング」です。特に、利用者自身が操作をする、させるという仕組みで攻撃するタイプの、「リアルタイムフィッシング」や「ClickFix」などは防ぐのが非常に難しく、しばらくの間はわれわれ自身がこの手法を知り、違和感を覚えたら立ち止まる、誰かと相談するということを心がけねばならないと思っています。

 自分の手で2要素認証を進める、コマンドを実行する以上、単なるランサムウェア感染で終わることはありません。重要なアカウントを奪われたり、デバイスの遠隔操作を許したりと、おそらく皆さんが想像する以上の攻撃が成立してしまいます。その最後の砦こそが、あなたであるということを伝え続けようと思っています。

 とはいえ、われわれ守る側も進化を続けています。2027年の今ごろにはもしかしたら大きな力になるかもしれない情報を見かけました。今回は読者の皆さんにぜひチェックいただきたいと思います。

iOS 27に搭載される「トラスト・インサイト・フレームワーク」

 Appleの「iPhone」では、この秋新バージョンとなるiOS 27がリリースされる予定です。今回のメジャーバージョンアップでは新機能を追加するというより、OSそのものをブラッシュアップするそうです。対応するデバイスであれば、動作パフォーマンスの向上とセキュリティの強化が期待できます。今回こそ、しっかりと早めにアップグレードした方がいいかもしれません。

 新機能が追加されないと聞いてはいましたが、実は裏側では気になる機能がいろいろと出てきているようです。現時点では開発者向けに情報が公開されつつあり、動画や実際のコードを含めて紹介され始めました。その中でセキュリティ的に注目を集めているのが、「Trust Insights framework」です。

 これはひと言でいえば、ソーシャルエンジニアリングで狙われる送金やアカウント編集などのリスクが高い操作の前に、正しく意図した(誰かに強制されていない)操作なのかどうかを利用者に尋ねられるフレームワークです。

 開発者はそのようなリスクが入り込む操作に対し、プライバシーを保護しつつさまざまなシグナルを基に、デバイス、サーバの機械学習エンジンによる判断を仰ぐ仕組みを入れ込むことができます。このような人の心理を突く攻撃は、本人に操作させるため、これまでのような多要素認証などのセキュリティ保護策を飛び越えます。アプリケーションは本物の意図と強要された意図を区別できないので、このような仕組みがOS内に用意されたというわけです。

「Trust Insights framework」のモデル(「Meet Trust Insights」動画から引用)
フレームワークを利用することで、リスクの高いトランザクションに対し利用者に確認ステップを入れることが可能(「Meet Trust Insights」動画より引用)

 このフレームワークでは、操作のモデルとして5つのカテゴリーが利用可能です。資産、コンテンツまたは金銭の交換などを処理する「支払い」、アカウント詳細やセキュリティ情報の更新の「アカウント」。AI推論など、コストがかかり制限されたインフラへリクエストする「リソース使用」。メッセージの送信、フォームの提出または書類への署名などの「コミュニケーション」。上記に該当しない操作に対するフォールバックとしての「その他」が定義されています。

 これらに当てはまるようなアプリを提供している場合、この機能を組み入れることが、利用者を守るもう一つの方法になるのではないでしょうか。

課題となる2つの点

 Appleはこれまでにも、ClickFixによるコード実行を止める仕組みを持っていました。ブラウザなどからコマンドをコピーし、それをターミナルに貼り付けると、マルウェアの可能性があると警告する機能です。これはClickFixにおける「Ctrl+V」のタイミングで検出されるはずなので、対策の一つになると考えています。やはり、こういった攻撃手法には、OS側で何か対策するというのが最も有効だと思っています。

If your Mac blocks a Terminal command paste or script(出典:Apple SupportのWebページ

 しかし、限界はあります。攻撃者はおそらく、このステップすらも「何かよく分からない警告が出ると思いますが、安全ですので安心してタップしてください」というように、操作の一つとして上手く誘導してくると思います。

 OSが全て守ってくれるわけではなく、やはり最後の砦はあなた自身であることには変わりません。あくまで、ステップの間に何とかしてあなたに気が付いてもらい、攻撃のチェーンをどこかで止める手助けしかできません。その意味では、これらの機能が「銀の弾丸」にはなりえないことには注意し続けなくてはいけないと思います。

 加えて、「トラスト・インサイト・フレームワーク」のような機能は、開発者がこの有用性を理解し、製品やアプリに組み込んでこそ。そして、最新のバージョンのOSにアップグレードしてくれて初めて有効になります。開発者の役割は重要です。まずは開発者自身がこのような機能を入れる必要性を理解し、「みんなで顧客を守る」ことに一歩踏み出してもらいたいと思います。

 今後は機械学習や生成AIとの連携が重要な焦点になります。これは、人間が触れるアプリもシステムにフレンドリーな仕組みになっていなければならないということだと私は考えます。例えば、パスワードの設定に関しても間に機械が入り込むことを想定し、「パスワード管理機能が生成したパスワードを邪魔しない」仕組みが必要です。具体的には、パスワードの文字の長さを極度に制限しないことや、文字種を制限しないことです。

 私も最近、新規アカウント作成時はパスワードマネージャーが提案する、強いパスワードをそのまま使うようにしています。しかし特に日本のサービスでは、パスワードに必ず記号を入れろ、数字を入れろ、16文字以内にしろ……などの制限がひっそりと実装されていて、結局弱いパスワードを打ち直さねばならないことが非常に多いです。開発者はこういった新しい作法をいち早く知り、実装しなければ顧客を危険にさらすことになると認識しなければならないでしょう。


 OS側がフィッシング対策として、新たなタイプの攻撃へも対応してきているのは非常に素晴らしいと思います。過信はできないものの、警告文が表示されることで立ち止まり、「これはなんだろう?」と思ってもらえることが、フィッシング対策では重要です。

 そんなほんのちょっと前進したサイバー世界を実現するために、開発者は顧客のために積極的にこういった機能を取り入れること、利用者は必ずOSをバージョンアップし最新の機能を享受できるようにしておくことを考えていければと思います。最新バージョンに追いつけないデバイスを持っている方は……そろそろ買い換え時かもしれませんよ。

Copyright © ITmedia, Inc. All Rights Reserved.

アイティメディアからのお知らせ

注目のテーマ

あなたにおすすめの記事PR