新型Phishing-as-a-Service「Lucid」がiPhoneユーザーを標的に

セキュリティ研究者Catalystの報告によると、新たなPhishing-as-a-Service (PhAAS) プラットフォーム「Lucid」が登場し、iPhoneユーザーを標的にしたフィッシング攻撃に利用されている。

Lucidの脅威は、AppleのiMessageを経由してフィッシングメッセージが送信される点にある。iMessageはエンドツーエンド暗号化を使用しており、スパムフィルターを回避する。さらに、Lucidは暗号化されたRCSも利用し、Androidデバイスへの攻撃も可能にしている。Appleは将来のiOSアップデートで暗号化されたRCSのサポートを発表している。

iMessage経由でフィッシングメッセージを送信するために、iPhoneファームが利用されている。Lucidの背後にあるXinXinは、「偽装された表示名を持つ一時的なApple ID」を使用して、1日に10万件以上のメッセージを送信できると主張している。PhAASパッケージには、攻撃者が正規に見えるウェブサイトやメッセージを作成するためのテンプレートが用意されている。フィッシングメッセージは、未払いの通行料、配送料、税金などの支払いを促し、ユーザーをアメリカ郵政公社などの正規サイトを装ったウェブサイトに誘導する。

Catalystは、iPhoneユーザーがiMessageを受信した際に安心感を抱くことが、ハッカーに利用されていると指摘している。Lucidは「費用対効果の高い」成功率を誇っている。

 # 被害を防ぐために

テキストメッセージは便利だが、攻撃に対して脆弱でもある。可能な限り、テキストメッセージ内のリンクは使用せず、どうしても使用する必要がある場合は、URLを慎重に確認する。攻撃者は偽のドメインを正規のものに見せかける。メッセージの文章が不自然で、タイプミス、スペルミス、文法的な誤りがある場合は信用しないこと。AppleはOSアップデートを通じてセキュリティパッチをリリースしているため、できるだけ早くインストールすることが重要である。