Apple Payユーザーを狙う新たな手口

Apple Payユーザーを標的とした、非常に巧妙なフィッシングキャンペーンが確認されました。このキャンペーンは、高品質なメールデザインとソーシャルエンジニアリングを駆使し、従来のセキュリティ対策をすり抜けています。一般的な詐欺メールがしばしば見られるスペルミスや不審なリンクに依存するのとは異なり、この新たな手口はメールと電話詐欺（「ビッシング」）を組み合わせた「ハイブリッド」アプローチを採用しており、Apple IDおよび支払いデータの窃取を狙っています。

攻撃の手口：偽装メールと2FAの悪用

攻撃は、公式のAppleからのものと見まがうほど精巧に作られたメールから始まります。メールには、正規のAppleブランド、正しいフォーマット、プロフェッショナルなレイアウトが用いられています。件名は通常、「2025年版MacBook Air M4（1,157.07ドル）を購入した」といった高額な取引や、多額のギフトカード取引が行われたことを示唆し、受信者の不安を煽ります。メールは、Appleがこの取引を「ブロック」したと主張し、アカウント停止を防ぐために本人確認が必要であると要求します。しかし、重要なのは、ユーザーにリンクをクリックさせるのではなく、「請求および詐欺防止」を謳う電話番号に架電するよう指示する点です。

一部のメールでは、詐欺に関する「予約」が設定されたとさえ主張します。被害者がこの番号に電話をかけると、Appleサポートエージェントを装った詐欺師につながります。詐欺師は、信頼関係を築くために練られたスクリプトに従い、被害者の名前やデバイスの詳細を確認して正当性を装います。信頼が確立されると、技術的な乗っ取りが始まります。Malwarebytesの報告によると、攻撃者は自身のコンピューターから被害者のApple IDにログインを試みます。これにより、被害者の電話に正規の二要素認証（2FA）コードが送信されます。詐欺師はその後、このコードが「アカウント確認」または「詐欺阻止」のために必要であると主張し、被害者に口頭で読み上げるよう要求します。このコードを渡すことで、被害者は意図せず攻撃者に自身のApple IDへの完全なアクセス権を与えてしまいます。これにより、詐欺師はApple Walletにリンクされた支払い方法を悪用したり、被害者をデバイスから完全にロックアウトしたりすることが可能になります。

身を守るための対策と警告

セキュリティ研究者は、Appleがメールで「詐欺に関する予約」を設定したり、不請願のメッセージに記載されている電話番号への架電をユーザーに求めたりすることは決してないと警告しています。安全を確保するために、ユーザーは以下のガイドラインを遵守する必要があります。

• 送信元を厳重に確認する: 表示名が「Apple Support」であっても、実際のメールアドレスを確認してください。フィッシングメールが公式の@apple.comドメインから来ることはほとんどありません。
• 2FAコードを他者に漏らさない: 電話で認証コードを誰とも共有しないでください。Appleサポートスタッフがパスワードや2FAコードを尋ねることはありません。
• 独自に情報を確認する: 請求アラートを受け取った場合でも、メール内の番号に電話しないでください。appleid.apple.comに直接アクセスするか、公式の銀行アプリで取引を確認してください。

万一、この種の詐欺に遭遇したと思われる場合は、直ちにApple IDのパスワードを変更し、設定内のすべての有効なセッションからサインアウトしてください。また、不正な請求が発生している可能性があれば、速やかに取引銀行に連絡して異議を申し立ててください。

元記事: https://gbhackers.com/apple-pay-users-targeted-by-phishing-attack/