iOS 27、心理操作フィッシング対策「Trust Insights framework」搭載へ
iOS 27、心理操作フィッシング対策の新フレームワーク搭載

Appleは2026年秋にリリース予定の「iOS 27」で、人の心理を突くフィッシング攻撃に対抗する新たな仕組みを準備していることが分かった。このフレームワークは「Trust Insights framework」と呼ばれ、ソーシャルエンジニアリングを用いた送金やアカウント編集などのリスクが高い操作の前に、ユーザーに正しく意図した操作かどうかを問いかけるものだ。

フィッシング攻撃の進化とOSによる対策

近年、ユーザー自身に操作をさせる「リアルタイムフィッシング」や「ClickFix」といった手法が増加している。これらの攻撃は、多要素認証などの既存のセキュリティ対策をすり抜けるため、防御が非常に難しい。Appleはこれまでにも、ClickFixによるコード実行を防ぐ仕組みをブラウザなどに実装してきたが、今回のiOS 27ではOSレベルで新たな対策を導入する。

「Trust Insights framework」では、操作のモデルとして5つのカテゴリーが利用可能だ。資産やコンテンツ、金銭の交換などを処理する「支払い」、アカウント詳細やセキュリティ情報の更新の「アカウント」、AI議論などコストがかかるインフラへリクエストする「リソース使用」、メッセージ送信やフォーム提出、書類への署名などの「コミュニケーション」、そして上記に該当しない操作に対するフォールバックとして「その他」が定義されている。

Pickt横長バナー — Telegram用の共同買い物リストアプリ

開発者とユーザーの役割

このフレームワークを効果的に機能させるには、開発者がアプリに組み込む必要がある。開発者はリスクの高いトランザクションに対して、プライバシーを保護しつつ、デバイスやサーバーの機械学習エンジンによる判断を仰ぐ仕組みを実装できる。ユーザーは常に最新のOSにアップデートし、最新のセキュリティ機能を享受することが重要だ。

ただし、OSがすべてを防げるわけではない。最終的な判断はユーザー自身に委ねられる。これらの機能は「銀の弾丸」にはなり得ないことに注意が必要だ。攻撃者は警告を「何かよく分からない警告が出ますが、安全ですので安心してタップしてください」などと誘導してくる可能性がある。

今後の展望と課題

今後は機械学習や生成AIとの連携が重要な焦点となる。例えば、パスワード設定に関しても機械が介入し、「パスワード管理機能が生成したパスワードを拒否しない」仕組みが必要だ。具体的には、パスワードの文字の長さや文字種を極度に制限しないことなどが挙げられる。

Appleはこれまでにも、ClickFixによるコード実行を防ぐ仕組みを持っていた。ブラウザなどからコマンドをコピーし、ターミナルに貼り付けるとマルウェアの可能性があると警告する機能だ。しかし、攻撃者はこのステップすらも「何かよく分からない警告が出ますが、安全ですので安心してタップしてください」と誘導してくる可能性がある。

OS側がフィッシング対策として新たなタイプの攻撃へも対応してきているのは非常に素晴らしい。完全に防ぐことはできないものの、警告文が表示されることで立ち止まり、「これはなんだろう?」と思ってもらえることがフィッシング対策では重要だ。

Pickt記事後バナー — 家族イラスト付きの共同買い物リストアプリ