パース・パテルさんのX（＠parth220_）から引用

他人のiPhoneやApple Watchを狙ってパスワードのリセット通知を大量に送り付けるフィッシング詐欺攻撃が相次いで報告されている。

「MFA爆弾」「MFA疲労」（MFA：多要素認証）と呼ばれる洪水のような通知は一度始まったら止める術がなく、Appleを装う相手にだまされてアカウントを乗っ取られる恐れもある。

サイバーセキュリティ調査報道サイト「Krebs on Security」によると、パテルさんを襲ったのは多要素認証（MFA）システムの弱点を突く「プッシュ爆弾」「MFA疲労」と呼ばれる攻撃だった。

攻撃者は大量のパスワードリセット通知を送り付けた後、Appleのサポートになりすまして電話をかけ、アカウントが攻撃を受けていると主張して「確認」のためのワンタイムパスワードを教えるよう要求。

攻撃者の狙いは、ワンタイムパスワードを含むApple IDのリセットコードをユーザーの端末に送信させ、そのコードを提供させることにある。

攻撃者がこれを使えばパスワードをリセットしてそのユーザーのアカウントから本人を締め出すことができ、遠隔操作でそのユーザーのApple端末を全て消去することも可能になる。

この攻撃が日本に上陸したら被害が大きそうだな。
日本国内では低年齢ほどiPhoneを持っているからだ。

※関連情報
iPhoneやApple Watchを襲う「MFA爆弾」相次ぐ パスワードリセット通知を大量送付、乗っ取りを狙う

アップル、「iPhone」を狙う「傭兵スパイウェア攻撃」を警告