ITmedia NEWS > セキュリティ >
速報
» 2021年09月29日 13時22分 公開

「AirTag」には“善きサマリア人攻撃”の恐れありとセキュリティ研究者がAppleに警告

Appleの紛失防止タグ「AirTag」は“善きサマリア人攻撃”の恐れありとセキュリティ研究者が語った。「紛失モード」のURLには電話番号とメールアドレス以外にも、例えば任意のコードを書き込めるからだ。

[ITmedia]

 米Appleが4月に発表した紛失防止タグ「AirTag」は、フィッシング詐欺に悪用される可能性があると、セキュリティジャーナリストのブライアン・クレブス氏が運営する「Krebs on Security」が9月28日(現地時間)に警告した。

 airtag 1 AirTagは1個3800円

 AirTagが「紛失モード」に設定されていると、https://found.apple.comの一意のURLが生成され、そこにAirTagの所有者が連絡先の電話番号またはメールアドレスを入力できるようになっている。

 この機能を悪用して、「善きサマリア人」をiCloudのフィッシングページあるいはその他の悪意あるWebサイトにリダイレクトする可能性があると、クレブス氏は警告した。(善きサマリア人とは、ルカによる福音書10章25節〜37節に登場する、道に倒れている行きずりの旅人を助けたサマリア人のこと。)

 例えば落とし物のAirTagを見つけた人がそのAirTagをスキャンすると、URLに自動的に転送される。

 だが、紛失モードには電話番号とメールアドレス以外の、例えば任意のコードを入力することもできるようになっているため、AirTagをスキャンした人が偽りのiCloudログインページや、別の悪意あるサイトにリダイレクトされてしまう可能性がある。

 airtag 2 found.apple.comに入力されているのが電話番号かメールアドレス以外の可能性もある

 この問題は、セキュリティコンサルタントのボビー・ラウフ氏がKrebs on Securityに説明した。ラウフ氏は6月20日にAppleにこの問題を報告したが、Appleは未だこの問題に対処していないという。同氏は、90日の猶予を与えたので、この問題を一般に公開することにしたとKrebs on Securityに語った。

 「こうした低価格の小型追跡装置が兵器化される可能性がある他の事例を思い出せない」(ラウフ氏)

 AirTagの価格は1つ29ドル(日本では3800円)だ。

 クレブス氏は、過去に実際に起きた安価なUSBドライブを悪用したシナリオを紹介した。攻撃者がハッキングしたい企業の駐車場に、マルウェアを仕込んだUSBを落としておき、それを従業員が落とし物だと思ってオフィスのPCに接続することでネットワークに侵入されるというものだ。これは実際に2008年、米国防総省施設の駐車場で起きたことだ。

 ラウフ氏は、この問題はAppleにとって最重要な問題ではないのだろうが、修正は簡単なはずだと語った。AppleはKrebs on Securityのコメント要求に応じていない。

Copyright © ITmedia, Inc. All Rights Reserved.