https://www.bravotouring.com/~yano/archives/2014/09/05/ Recent content in 2014/09/05 on Yano's digital garage Hugo en-us Fri, 05 Sep 2014 23:14:32 +0900 https://www.bravotouring.com/~yano/diary/it/20140905appleid.htm Fri, 05 Sep 2014 23:14:32 +0900 https://www.bravotouring.com/~yano/diary/it/20140905appleid.htm <p><a href="http://www.gizmodo.jp/2014/09/icloud_3.html">iCloudからセレブのヌードが大流出</a>した事件。当初は『iPhoneを探す（Find My iPhone）』サービスに対する「スクリプトによるiCloudアカウントのブルートフォース攻撃」と言われていたが、どうやら<a href="http://support.apple.com/kb/HT4232?viewlocale=ja_JP">Apple ID のセキュリティ質問</a>、通称「秘密の質問」を推測して繰り返した伝統なソーシャルアタックにより不正ログインに成功したらしい。</p> <table align="right" class="Panorama"> <tr> <td><img alt="Apple ID のセキュリティ質問" src="https://www.bravotouring.com/~yano/images/2014/20140905appleid.png"/></td> </tr> <tr> <td class="PhotoMemo"><a href="http://support.apple.com/kb/HT4232?viewlocale=ja_JP">セキュリティとApple ID</a>より</td> </tr> </table> <p>そらそうだ、有名人ならば「出身地」や「母親の旧姓」なんて少し頑張れば調べが付く事がたくさんあるし、有名人でなくてもリアルな家族や友達ならば簡単に推測される可能性が高い。ソーシャルネットワーキングサービスが普及した昨今ではもはやセキュアな仕組みとはとても思えない。</p> <p>個人的には裏をかいて全ての質問に"あかさたな"等と全く無関係な言葉を入れておいたりするのだが、<a href="http://support.apple.com/kb/HT5665?viewlocale=ja_JP">Apple ID のセキュリティ質問</a>のように複数の質問に対して同じ答えが禁止されるような余計なお世話をされるとそれも使えないので、まさにお手上げ。</p> <p>しかも、<a href="http://wpb.shueisha.co.jp/2013/12/25/23922/">アップルＩＤの「秘密の質問」を忘れるととんでもないことになる？</a>など、侵入されてしまえば逆に<span class="Warning">本人が認証されなくなる</span>ダークサイドも知られていて、最近は「百害あって一利無し」な印象なので、アカウントから支払い情報を削除した後そのまま放置せざるを得なかった。</p> <p>昨年になってようやく<a href="http://support.apple.com/kb/HT5570?viewlocale=ja_JP">Apple ID の 2 ステップ確認</a>、通称「2段階認証」にも対応。日本では遅れていた<a href="http://support.apple.com/kb/HT5593?viewlocale=ja_JP">2ステップ確認のSMS対応</a>も今年になってようやくサポートされたので早速<span class="Topics">有効にしている</span>のだが、実は<a href="http://www.gizmodo.jp/2014/09/icloud2.html">iCloud推奨の2段階認証は呆れるぐらい簡単にスルーできる : ギズモード・ジャパン</a>で記されているように2段階認証の対象は「Apple IDの管理」や「ストアでの購入」だけという事なので<span class="Warning">「iCloudの情報保護には役に立たない」</span>らしい。<a href="http://www.itmedia.co.jp/enterprise/articles/1405/28/news038.html">5月にはiPadやiPhoneを乗っ取って解除に身代金を要求する</a>もあったが、これも同じ手法で『iPhoneを探す（Find My iPhone）』に不正侵入されたのかもしれないな。</p> <p>2年前のマット・ホーナン事件を契機に書かれた記事<a href="http://www.gizmodo.jp/2012/08/post_10649.html">アップルとアマゾンのセキュリティはこんなにもザルだった : ギズモード・ジャパン</a>で記されているように以前は「秘密の質問」が答えられなくても「電話で<span class="Emergency">クレジットカード下4桁と請求先住所を言うだけ</span>でハッカーを本人認証してパスワード再発行してた」という、アップルならではとも言える<span class="Warning">ユニカルチャーの危うさ</span>を改めて思い出したが、他にも意外な落とし穴が残されているような気がしてしかたがない。</p> <p>そうは言っても<span class="Topics">「iTunes Storeでの不正利用は防げる」</span>だけでもので、<a href="http://support.apple.com/kb/HT5570?viewlocale=ja_JP">Apple ID の 2 ステップ確認</a>を有効にしない手は無い。特に、乗っ取った後の不正操作防止の観点から、実際に「2段階認証」設定ができるようになるまでには数日間の猶予が必要なので、熱が冷めないうちにやっておきたい。</p> <p class="Reference">【参照】 <br/>●ギズモード・ジャパン <a href="http://www.gizmodo.jp/">http://www.gizmodo.jp/</a> <br/>┣<a href="http://www.gizmodo.jp/2012/08/gizmodoicloud_hack.html">米Gizmodoのツイッターがハックされる。原因はiCloud</a> 2012年8月8日 <br/>┣<a href="http://www.gizmodo.jp/2012/08/post_10649.html">アップルとアマゾンのセキュリティはこんなにもザルだった</a> 2012年8月8日 <br/>┣<a href="http://www.gizmodo.jp/2014/09/icloud_3.html">セレブのヌード大流出、原因はiCloudの穴？</a> 2014年9月2日 <br/>┣<a href="http://www.gizmodo.jp/2014/09/icloud_4.html">アップルが反論「セレブは狙われている、iCloudが原因じゃない」</a> 2014年9月3日 <br/>┗<a href="http://www.gizmodo.jp/2014/09/icloud2.html">iCloud推奨の2段階認証は呆れるぐらい簡単にスルーできる</a> 2014年9月4日 <br/>●ITmedia エンタープライズ <a href="http://www.itmedia.co.jp/enterprise/">http://www.itmedia.co.jp/enterprise/</a> <br/>┣<a href="http://www.itmedia.co.jp/enterprise/articles/1208/06/news023.html">GizmodoのTwitter乗っ取られる　原因は元記者のiCloudアカウント窃盗</a> 2012年8月6日 <br/>┣<a href="http://www.itmedia.co.jp/enterprise/articles/1308/16/news002.html">萩原栄幸の情報セキュリティ相談室：パスワードクライシス・中編　パスワード管理を取り巻く現実</a> 2013年8月16日 <br/>┣<a href="http://www.itmedia.co.jp/enterprise/articles/1405/08/news042.html">身代金要求マルウェアがAndroidも標的に</a> 2014年5月8日 <br/>┣<a href="http://www.itmedia.co.jp/enterprise/articles/1405/28/news038.html">iPadやiPhoneの乗っ取り被害多発、ロック解除に「身代金払え！」</a> 2014年5月28日 <br/>┣<a href="http://www.itmedia.co.jp/enterprise/articles/1405/29/news043.html">iPhoneロック被害にAppleがコメント、「iCloudは破られていない」</a> 2014年5月29日 <br/>┣<a href="http://www.itmedia.co.jp/enterprise/articles/1409/02/news037.html">iCloud問題が影響？　有名人の写真が匿名掲示板に大量流出</a> 2014年9月2日 <br/>┗<a href="http://www.itmedia.co.jp/enterprise/articles/1409/05/news042.html">萩原栄幸の情報セキュリティ相談室：米国セレブの情報流出事件を切る！　便利で怖いクラウドのセキュリティ術</a> 2014年9月5日 <br/>●マイナビニュース <a href="http://news.mynavi.jp/">http://news.mynavi.jp/</a> <br/>┣<a href="http://news.mynavi.jp/articles/2014/02/21/apple_id/">アプリ、音楽購入時のセキュリティを強化! Apple IDの二段階認証の設定手順と注意点</a> 2014年2月21日 <br/>┣<a href="http://news.mynavi.jp/news/2014/09/02/459/">iCloudのハッキングで米セレブのヌード写真流出、イベント開催に不安も</a> 2014年9月2日 <br/>┣<a href="http://news.mynavi.jp/news/2014/09/03/016/">セレブのプライベート写真流出問題、Appleが調査中間報告を公開</a> 2014年9月3日 <br/>┣<a href="http://news.mynavi.jp/news/2014/09/03/167/">米セレブのヌード写真流出事件、米AppleはiCloudへの不正アクセスを否定</a> 2014年9月3日 <br/>┣<a href="http://news.mynavi.jp/news/2014/09/03/052/">不正ログインは人ごとじゃない! - iPhoneでできる不正ログイン対策記事まとめ</a> 2014年9月3日 <br/>┣<a href="http://news.mynavi.jp/articles/2014/09/03/icloudsec/">セレブじゃなくても狙われるかも!? 知っておきたいiCloudの安全対策 </a> 2014年9月3日 <br/>┗<a href="http://news.mynavi.jp/news/2014/09/05/146/">トレンドマイクロ、米セレブのヌード写真流出に関連した脅威を確認</a> 2014年9月5日 <br/>●WIRED.jp <a href="http://wired.jp/">http://wired.jp/</a> <br/>┣<a href="http://wired.jp/2012/08/14/amazon-apple-security-hacked/">あらゆる個人情報をハッキングされたWIRED記者が考えるセキュリティ問題</a> 2012年8月14日 <br/>┗<a href="http://wired.jp/2012/08/14/how-not-to-become-mat-honan/">WIRED記者の悲劇から学ぶ「セキュリティ9つの常識」</a> 2012年8月14日 <br/>●Apple サポート 公式サイト <a href="http://www.apple.com/jp/support/">http://www.apple.com/jp/support/</a> <br/>┣<a href="http://support.apple.com/kb/HT4232?viewlocale=ja_JP">Apple ID：セキュリティと Apple ID</a> <br/>┣<a href="http://support.apple.com/kb/HT5665?viewlocale=ja_JP">Apple ID のセキュリティ質問について</a> <br/>┣<a href="http://support.apple.com/kb/HT5570?viewlocale=ja_JP">Apple ID の 2 ステップ確認についてよくお問い合わせいただく質問 (FAQ)</a> <br/>┗<a href="http://support.apple.com/kb/HT5593?viewlocale=ja_JP">Apple ID：2 ステップ確認と SMS について</a> </p>