「AirTag」には“善きサマリア人攻撃”の恐れありとセキュリティ研究者がAppleに警告
Appleの紛失防止タグ「AirTag」は“善きサマリア人攻撃”の恐れありとセキュリティ研究者が語った。「紛失モード」のURLには電話番号とメールアドレス以外にも、例えば任意のコードを書き込めるからだ。
米Appleが4月に発表した紛失防止タグ「AirTag」は、フィッシング詐欺に悪用される可能性があると、セキュリティジャーナリストのブライアン・クレブス氏が運営する「Krebs on Security」が9月28日(現地時間)に警告した。
AirTagが「紛失モード」に設定されていると、https://found.apple.comの一意のURLが生成され、そこにAirTagの所有者が連絡先の電話番号またはメールアドレスを入力できるようになっている。
この機能を悪用して、「善きサマリア人」をiCloudのフィッシングページあるいはその他の悪意あるWebサイトにリダイレクトする可能性があると、クレブス氏は警告した。(善きサマリア人とは、ルカによる福音書10章25節〜37節に登場する、道に倒れている行きずりの旅人を助けたサマリア人のこと。)
例えば落とし物のAirTagを見つけた人がそのAirTagをスキャンすると、URLに自動的に転送される。
だが、紛失モードには電話番号とメールアドレス以外の、例えば任意のコードを入力することもできるようになっているため、AirTagをスキャンした人が偽りのiCloudログインページや、別の悪意あるサイトにリダイレクトされてしまう可能性がある。
この問題は、セキュリティコンサルタントのボビー・ラウフ氏がKrebs on Securityに説明した。ラウフ氏は6月20日にAppleにこの問題を報告したが、Appleは未だこの問題に対処していないという。同氏は、90日の猶予を与えたので、この問題を一般に公開することにしたとKrebs on Securityに語った。
「こうした低価格の小型追跡装置が兵器化される可能性がある他の事例を思い出せない」(ラウフ氏)
AirTagの価格は1つ29ドル(日本では3800円)だ。
クレブス氏は、過去に実際に起きた安価なUSBドライブを悪用したシナリオを紹介した。攻撃者がハッキングしたい企業の駐車場に、マルウェアを仕込んだUSBを落としておき、それを従業員が落とし物だと思ってオフィスのPCに接続することでネットワークに侵入されるというものだ。これは実際に2008年、米国防総省施設の駐車場で起きたことだ。
ラウフ氏は、この問題はAppleにとって最重要な問題ではないのだろうが、修正は簡単なはずだと語った。AppleはKrebs on Securityのコメント要求に応じていない。
関連記事
AirTagが示した「巨大メッシュネットワーク」の時代
Appleの探し物ネットワークはサードパーティーの類似製品・サービスとはスケールが大きく違う。西田宗千佳さんがその背景を解説。
AirTagで子どもやペットを追跡しないで Apple幹部語る
AirTagはモノを見守るためのもので、子どもやペットは対象外。
Appleの「AirTag」は紛失防止タグの“黒船”か 既存製品との違いをチェック
米Appleが4月20日(現地時間)に発表した紛失防止タグ「AirTag」は、既存製品とどう違うのか。それぞれの性能を比較し、その違いを確かめる。
Apple、正確な距離分かる紛失防止タグ「AirTag」発表 4月30日発売、1個29ドルで
AirTagがついに登場。4個入り99ドルのパッケージも。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.