iMessageユーザーを狙う新たなフィッシング攻撃に要注意 その巧妙な手口とは?:セキュリティニュースアラート
iMessageを悪用した新たなフィッシング詐欺が急増している。Bleeping Computerによると、不明な送信者からのリンク保護機能を無効化し、返信を促す手口が増加しているという。
コンピュータ情報サイト「Bleeping Computer」は2025年1月12日(現地時間)、Appleのメッセージアプリ「iMessage」ユーザーを狙った新たなフィッシング手法について報じた。
サイバー犯罪者がiMessageに組み込まれているリンク保護機能を無効化する手口を利用し、ユーザーをだましてフィッシングリンクを再び有効化する攻撃が増加しているという。
フィッシングリンクを再有効化させる巧妙な手口とは?
報告されているサイバー攻撃はスミッシング(SMSフィッシング)と呼ばれる手法の一つとされている。スミッシングは配送問題や未払い料金の通知を装った偽のテキストメッセージをユーザーに送り、不正なリンクに誘導する攻撃だ。
iMessageには通常、不明な送信者からのメッセージに含まれるリンクを無効化する機能が提供されている。しかし、この攻撃ではユーザーがそのメッセージに返信したり、送信者を連絡先に追加したりすることでリンクが再び有効になる仕組みが悪用されている。
Bleeping Computerは、リンクを有効化させるために「Y」と返信するようユーザーを誘導する手口が急増していることを確認している。これらのフィッシングメッセージは、偽のテキストメッセージの中に「Yと返信してリンクを再度有効にしてください」といった文言を含み、返信を促す内容となっている。返信することでリンクが有効化され、iMessageのフィッシング保護が解除されてしまう。
返信後にそのメッセージがフィッシング目的であると判明し、有効になったリンクをクリックしなかったとしても返信自体が攻撃者にとって有用な情報となる。返信されることで送信先がアクティブなターゲットであることが明らかとなり、さらなる攻撃が実行される可能性がある。特にフィッシング詐欺に対する知識が乏しいユーザーが標的になりやすく、個人情報やクレジットカード情報が盗まれるケースが懸念されている。
Bleeping Computerは不明な送信者からのリンクが無効化されたメッセージや返信を求めるテキストを受信した際には、決して返信しないよう強く注意を呼びかけている。このようなフィッシング攻撃から身を守るため、慎重な行動が求められている。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
注目はパスキーだけじゃない 2025年こそ流行ってほしい3つのセキュリティ技術
2025年が始まりました。相変わらずサイバー攻撃は収まる気配はないので、防御側もしっかりと対策を講じなければなりません。今回は新年1回目ということで、2025年こそ流行ってほしい3つのセキュリティ技術を紹介します。
“ランサムウェア戦国時代”到来? 2つの事件から見る攻撃者ビジネスの変化
RaaSをはじめとしたランサムウェアの高度化は大きな問題だ。2024年にランサムウェアのエコシステムに起きた“象徴的な2つの事件”を取り上げ、攻撃者たちのビジネスモデルや意識がどのように変化したかを解説しよう。
OAuthを悪用した高度な攻撃「同意フィッシング」に注意 SaaS乗っ取りのリスク
正規のOAuthプロバイダーを悪用し、ユーザーに悪意のあるアプリへの権限付与を促す高度なサイバー攻撃「同意フィッシング」が確認された。SaaSの乗っ取りやChrome拡張機能の改ざんなど企業や個人に深刻な被害をもたらす可能性がある。
“EDR回避”は2025年の最新トレンド? 最新の攻撃手法を深堀しよう
ここ数年で、ランサムウェアをはじめとしたサイバー攻撃を防ぐ有効な手段としてEDRが広く普及しました。しかし攻撃者もこれを理解し、EDRを回避する攻撃手法を編み出すようになっています。今回はその技術的手法の詳細に迫ります。