ここ数日、iOSアプリ開発者らがiMessageを使った大量のスパム攻撃に晒されているという。攻撃自体は単純なスクリプトによるものだが、Apple側が特に対策をとっていないとみられるため、大量のメッセージを短時間で送りつけることが可能だという。現時点でiMessageはこの種の攻撃者を特定してブロックする手段がないため、もし自身のiMessage IDが先方に取得された場合は機能そのものを無効にするしかない。
同件はThe Next Webが報じている。同誌が把握している範囲で数人のiOS開発者らがすでに被害に遭っており、「Hi」「We are anonymous」といった大量のメッセージを送信され、対策を行うまで端末が機能不全に陥るようだ。単なるスパムではなく、端末を対象にしたDDoS攻撃に近い。
分析によれば、OS XのMessagesアプリを使ってAppleScriptによる単純なスクリプトを記述した攻撃のようだが、iMessage自体が単位時間あたりの送信制限などの対策を行っていないとみられるため、単純ながらもiOSデバイスやMacのメッセージ欄を埋め尽くす(場合によってはNotificationsを止められなくする)には十分な効果を上げている。単純なテキストだけでなく、絵文字のような大容量テキストを組み合わせることで大容量データを故意に送りつけることも可能なようで、3G回線などを使うケースでは大きな被害を出すこともできるとみられる。
iMessageに搭載されているブロック機能はスパムなどの迷惑メールを送ってくるだけの軽度な相手には有効だが、今回のようにDDoSライクに送信元が特定できないケースは無効だ。そのため、自身のiMessage IDが相手に判明した段階ですぐに攻撃の対象にされる危険性があり、その場合にiMessageの機能そのものを無効化するしかない。この件に関して、Appleから比較的近いうちに何らかのアナウンスや対策が発表される可能性がある。
