ニュース 2021.10.14 AppleのAirTag、フィッシング詐欺サイトに誘導される脆弱性発見

ITセキュリティジャーナリストのBrian Krebs氏が、9月28日(米国時間)、自身の運営サイト「Krebs on Security」上で注意喚起を行った。

AirTagは、購入後、保護フィルムを剥がしてiPhoneに近づけるだけで、Bluetoothを介してペアリングできる。ペアリングしたあとは、AirTagに「財布」や「〇〇の財布」など名称をつけ、アイコンを選択したら設定完了だ。

このタグを「〇〇の財布」につけておけば、財布が見つからない！となった際、iPhoneから「探す」ことが可能になる。

AirTagをつけたモノを紛失した際には、iPhoneの「探す」アプリで音を鳴らすなどして探すことができるほか、「探す」アプリでも見つけられない場合には、紛失モードを有効にすることで、AirTagの位置情報を確認することも可能だ。

ところが、AirTagがフィッシング詐欺に悪用される可能性があるのは、この紛失モードが有効になっているときだという。

この脆弱性を発見した、ITセキュリティコンサルタントのBobby Raunch氏によれば、紛失モードに設定されているタイミングで、誰かが、NFC対応のスマートフォンでAirTagをスキャンすると、持ち主の連絡先が分かるサイトに自動的に誘導されてしまうという。

持ち主にとっては個人情報がのぞかれてしまう危険があるが、スキャンした側にも、この脆弱性を悪用して設定されたフィッシングサイトに、自動的に誘導されてしまう危険がある。

Raunch氏は、この不具合を6月20日にAppleに報告したが、Appleは現時点でも未対応であり、そのため一般に公開することにしたとKrebs on Security上で語っている。

【関連リンク】

・Apple AirTag Bug Enables ‘Good Samaritan’ Attack（Krebs on Security）
https://krebsonsecurity.com/2021/09/apple-airtag-bug-enables-good-samaritan-attack/

TEXT：セキュリティ通信 編集部
PHOTO：iStock