iCloudへのハッキングは脆弱性に起因するものではない
「脆弱性に起因するものではない」
Appleは9月2日、あのiCloud事件の調査に関する発表を行った。
その中で
「iCloudへのハッキングは、iCloudの脆弱性が直接的な原因ではなく、システムの認証メカニズムに対する標的型攻撃によって引き起こされたものだ」
と言っている。
もう少し詳しく書くと
「40時間余りにわたる調査の結果、ユーザー名、パスワード、セキュリティに関する質問に対する高度な標的型攻撃によって、一部の有名人のアカウントへの不正侵入が行われた。こうした攻撃はインターネット上では極めて一般的になっている。当社が調べたケースの中には、iCloudやFind My iPhone(iPhoneを探す)などのAppleのシステムの脆弱性に起因するものではない」
要するに今回の問題はiCloudの責任ではなく、通常のハッキング手法によるものだよ、ということですね。
でも、なぜかすぐに「Find My iPhone」アプリの脆弱性を修正してるんですって。。
Find My iPhoneというのは、iCloudサービスの一部で、セキュリティ専門家たちの間では、少なくとも今回の画像流出の原因の一端になったという話がされている機能。
このアプリは、ユーザーがパスワード入力を何回試みても、入力がロックされることはなかったという問題といえるものを抱えていた。
この欠陥のせいで、Find My iPhoneアプリがブルートフォース攻撃の対象になったわけですが、そのアプリのパスワード入力がこの事件をきっかけに5回に制限されています。
これってアプリの脆弱性ですって認めているようなものかと。。
さらに興味深いのが、画像攻撃の何日か前に、Find My iPhoneアプリへのブルートフォース攻撃に利用できるツールとして「iBrute」というもがリリースされてるんです。
このツールはモバイルアプリケーション用の自動セキュリティ監査ツール「HackApp」を開発したチーム。
このチームでは、セキュリティカンファレンス「DefCon」において、iBruteおよび関連する脆弱性に関するプレゼンテーションを行ったことを謝罪して、ツールとテクニックがiCloudのハッキングに利用された可能性があることを発表した。
そのコメントがこれ。
「数日前に@hackappcomと@abelenkoがローカル(@DefconRussia)グループミーティング(@chaos_constructイベント)で行った発表が、このような重大な結果を招いたことを大変申し訳なく思っている。ブラックハットコミュニティー(訳注:悪質なハッカー集団)は安易で不快なフィードバックをよこしてきた」とHackAppチームの発表文は述べている。「この事件に巻き込まれた全ての人々に言いたいのは、私たちは今、『すばらしい新グローバル世界』に生きているということだ。この世界ではプライバシーの保護がかつてなくないがしろにされ、『スマート』デバイスの全てのデータがインターネットからアクセスできる可能性があると覚悟しなければならない。これは無政府状態の世界であり、迷惑な活動の温床になる恐れがある」
あんまり反省とか謝罪というよりも、今の時代は何でもありだぜ、ハッハッハ。みたいに見えるのは私だけですかね?
さらにスゴイ話になっていて、米連邦捜査局は9月1日、「当局は有名人の画像流出に関する報道を認知しており、この件に対処する方針だ」という声明を発表している。
iCloudにアップしているデータを保護するには
今回は芸能人でしたが、私たち一般人も被害に遭う可能性が十分にあることが分かります。
では、どのように保護すればよいのでしょうか。
基本的には企業側にきちんとしたセキュリティ管理をしてもらうことが重要です。
ただ、それだけではやはり不安なので、自分たちでも自分のデータを守る方法をきちんと身に付けておくべきですね。
Apple 社の各種アカウントや iPhone を保護するのに役立つ 3 つの方法をご案内。
iPhone6でiPhone を初めて使う方にも有効なのでしっかりとチェックしてくださいね。 その1、Touch ID 指紋認証
Touch ID 指紋認証を必ず有効にしましょう。
Touch ID は、iPhone 5s、iPhone 6、iPhone 6 Plus に内蔵されている指紋リーダーでユーザーの認証が出来る機能です。
指紋を使って、iPhone のロック解除や、iTunes、App Store、または Apple Pay からの購入を実行することができます。
iPhone の初期設定で Touch ID を有効にしなかった場合でも、後から[設定]で有効にすることができますので、必ず設定しておきましょうね。
もし、Touch ID機能のない、iPhone5以前の機種を使っている場合でも、 パスコードは必ず設定してください。
そうすることで、iPhone をなくしたり盗まれたりしても、それを手にした人が簡単にロックを解除することができません。 その2. Apple ID に対して強力なパスワードを設定する
iTunes や App Store で何かを購入するには Apple ID が必ず必要ですね。
iPhone や iPad で iCloud 機能を有効にするため時にも Apple ID は必要です。このパスワードは非常に重要なので、強力なものを使うようにします。
Apple ID のパスワードは、基本要件として、
- 8 文字以上
- 小文字の英字
- 大文字の英字
- 数字
のすべてを含む必要があります。
強化するには、最小要件の 8 文字よりも文字数を多くしたり、ランダムな文字を含めたりします。
その3. 2 ステップ確認を有効にする
2 ステップ確認を有効にします。
iPhone や iPad の所有者を標的とするフィッシング攻撃は、常に Apple ID とパスワードを盗み取ろうとしています。
2 ステップ確認を有効にしておけば、攻撃者があなたのユーザー名とパスワードを使って Apple ID や iCloud のデータにアクセスできないようにできます。
2 ステップ確認(2 要素認証とも呼ばれます)は、他人があなたのアカウントにログインして設定を変更するためには、パスワード以外のものが必要になります。
さらに、携帯電話などのデバイスに送信される確認コードも必要です。
皆さんもあの芸能人のように恥ずかしい写真が漏洩することのないように日頃から十分気をつけるようにしましょう!
コメント