Apple IDのセキュリティ

iCloudからセレブのヌードが大流出した事件。当初は『iPhoneを探す（Find My iPhone）』サービスに対する「スクリプトによるiCloudアカウントのブルートフォース攻撃」と言われていたが、どうやらApple ID のセキュリティ質問、通称「秘密の質問」を推測して繰り返した伝統なソーシャルアタックにより不正ログインに成功したらしい。

そらそうだ、有名人ならば「出身地」や「母親の旧姓」なんて少し頑張れば調べが付く事がたくさんあるし、有名人でなくてもリアルな家族や友達ならば簡単に推測される可能性が高い。ソーシャルネットワーキングサービスが普及した昨今ではもはやセキュアな仕組みとはとても思えない。

個人的には裏をかいて全ての質問に"あかさたな"等と全く無関係な言葉を入れておいたりするのだが、Apple ID のセキュリティ質問のように複数の質問に対して同じ答えが禁止されるような余計なお世話をされるとそれも使えないので、まさにお手上げ。

しかも、アップルＩＤの「秘密の質問」を忘れるととんでもないことになる？など、侵入されてしまえば逆に本人が認証されなくなるダークサイドも知られていて、最近は「百害あって一利無し」な印象なので、アカウントから支払い情報を削除した後そのまま放置せざるを得なかった。

昨年になってようやくApple ID の 2 ステップ確認、通称「2段階認証」にも対応。日本では遅れていた2ステップ確認のSMS対応も今年になってようやくサポートされたので早速有効にしているのだが、実はiCloud推奨の2段階認証は呆れるぐらい簡単にスルーできる : ギズモード・ジャパンで記されているように2段階認証の対象は「Apple IDの管理」や「ストアでの購入」だけという事なので**「iCloudの情報保護には役に立たない」**らしい。5月にはiPadやiPhoneを乗っ取って解除に身代金を要求するもあったが、これも同じ手法で『iPhoneを探す（Find My iPhone）』に不正侵入されたのかもしれないな。

2年前のマット・ホーナン事件を契機に書かれた記事アップルとアマゾンのセキュリティはこんなにもザルだった : ギズモード・ジャパンで記されているように以前は「秘密の質問」が答えられなくても「電話でクレジットカード下4桁と請求先住所を言うだけでハッカーを本人認証してパスワード再発行してた」という、アップルならではとも言えるユニカルチャーの危うさを改めて思い出したが、他にも意外な落とし穴が残されているような気がしてしかたがない。

そうは言っても「iTunes Storeでの不正利用は防げる」だけでもので、Apple ID の 2 ステップ確認を有効にしない手は無い。特に、乗っ取った後の不正操作防止の観点から、実際に「2段階認証」設定ができるようになるまでには数日間の猶予が必要なので、熱が冷めないうちにやっておきたい。

参照

ギズモード・ジャパン http://www.gizmodo.jp/

• 米Gizmodoのツイッターがハックされる。原因はiCloud 2012年8月8日
• アップルとアマゾンのセキュリティはこんなにもザルだった 2012年8月8日
• セレブのヌード大流出、原因はiCloudの穴？ 2014年9月2日
• アップルが反論「セレブは狙われている、iCloudが原因じゃない」 2014年9月3日
• iCloud推奨の2段階認証は呆れるぐらい簡単にスルーできる 2014年9月4日

ITmedia エンタープライズ http://www.itmedia.co.jp/enterprise/

• GizmodoのTwitter乗っ取られる　原因は元記者のiCloudアカウント窃盗 2012年8月6日
• 萩原栄幸の情報セキュリティ相談室：パスワードクライシス・中編　パスワード管理を取り巻く現実 2013年8月16日
• 身代金要求マルウェアがAndroidも標的に 2014年5月8日
• iPadやiPhoneの乗っ取り被害多発、ロック解除に「身代金払え！」 2014年5月28日
• iPhoneロック被害にAppleがコメント、「iCloudは破られていない」 2014年5月29日
• iCloud問題が影響？　有名人の写真が匿名掲示板に大量流出 2014年9月2日
• 萩原栄幸の情報セキュリティ相談室：米国セレブの情報流出事件を切る！　便利で怖いクラウドのセキュリティ術 2014年9月5日

マイナビニュース http://news.mynavi.jp/

• アプリ、音楽購入時のセキュリティを強化! Apple IDの二段階認証の設定手順と注意点 2014年2月21日
• iCloudのハッキングで米セレブのヌード写真流出、イベント開催に不安も 2014年9月2日
• セレブのプライベート写真流出問題、Appleが調査中間報告を公開 2014年9月3日
• 米セレブのヌード写真流出事件、米AppleはiCloudへの不正アクセスを否定 2014年9月3日
• 不正ログインは人ごとじゃない! - iPhoneでできる不正ログイン対策記事まとめ 2014年9月3日
• セレブじゃなくても狙われるかも!? 知っておきたいiCloudの安全対策 2014年9月3日
• トレンドマイクロ、米セレブのヌード写真流出に関連した脅威を確認 2014年9月5日

WIRED.jp http://wired.jp/

• あらゆる個人情報をハッキングされたWIRED記者が考えるセキュリティ問題 2012年8月14日
• WIRED記者の悲劇から学ぶ「セキュリティ9つの常識」 2012年8月14日

Apple サポート 公式サイト http://www.apple.com/jp/support/

• Apple ID：セキュリティと Apple ID
• Apple ID のセキュリティ質問について
• Apple ID の 2 ステップ確認についてよくお問い合わせいただく質問 (FAQ)
• Apple ID：2 ステップ確認と SMS について