iOS12から導入されたSMS経由で送信された二要素認証コードの自動入力機能。
Appleは二要素認証機能でフィッシング攻撃の疑いのあるSMS経由で送信された二要素認証コードの自動入力のブロックを開始しました。
二要素認証機能でフィッシング攻撃のSMS自動入力をブロック
SMSを介して配信される二要素認証コードの自動入力は、iPhoneの便利な機能ですが、悪意あるフィッシング攻撃の標的にされることがありました。
ユーザーが攻撃者によってフィッシングリンクに誘導され、WebサイトがSMS経由で二要素認証コードを送信した場合、Appleの二要素認証の自動入力機能によりユーザーがフィッシングの被害を受ける可能性がありました。
そこでAppleは、Webサイトのドメインと二要素認証コードを送信したドメインが完全に一致する場合のみに、二要素認証コードの自動入力がされるように変更しました。
たとえば、サイトがapple.comの場合、確認コードを要求するフィッシングリンクがapple.securelogin.comであるときはフィッシングの疑いがあるので、自動入力オプションは提供されないことになります。
二要素認証コードが自動入力されないときは、ユーザーの手動入力画面が表示されます。
自動入力されないときは、Webサイトのドメインと二要素認証コードを送信したドメインをよく確認して入力するかどうか判断し、疑わしいときは入力しないように注意が必要です。
