米Gizmodoのツイッターがハックされる。原因はiCloud

120804MatHonan_hacked.png

米Gizmodoマット・ホーナン(Mat Honan)元記者のiCloudがハッカーに侵入され、そこからGmail経由で米Gizmodoのツイッターアカウントまで乗っ取られ、罵詈雑言をうわ言のようにつぶやく事件が3日夜(米時間)ありました。

Gizmodoの方はツイッターに通報してすぐ元に戻ったのですが、かわいそうなのはマットで、携帯やパソコンに持ってた過去数年分のデータが全部抹消されてしまったんです! まさに終わりのない悪夢。彼はこう振り返っています

4:50 PM、何者かが僕のiCloudのアカウントに侵入し、パスワードをリセットし、リセット確認メッセージをゴミ箱に捨てた。元のパスワードは7桁の文字と数字の組み合わせで、他では使ってない。[...]

Gmailアカウントのバックアップ用アドレスも同じ.macのメールアドレスだった。

4:52 PM、彼らはGmailのパスワード回復のメールをその.macのアカウントに送って、その2分後、Google Accountパスワード変更通知のメールが僕のところにきたんだ。

5:00 PM、iPhoneがリモートワイプされる(Find my iPhoneがオンになっていた)

5:01 PM、iPadがリモートワイプされる(Find my iPadもオンになっていた)

5:05 PM、MacBook Airがリモートワイプされる(Find My Macもオンになっていた)

数分後、Twitterがハックされる。まず僕のTwitterアカウントがハックされ、そこからGizmodoのアカウントもハックされた。

端末紛失・盗難時に遠隔でデータを消去できる「Find my~(~を探す)」機能は有難いのだけど、今回のようにiCloud本体が乗っ取られると、盗まれてもいない端末のデータが盗人に消されてしまう、という逆ベクトルに作用しちゃうんですね...。

  

なぜiCloudは破られたのか?

 

ハックされた直後、Gizmodoはてっきりマットのパスワードが破られたと思い込んで、こんな風にセキュリティのアドバイスを書いていました。

・パスワードは強いの使おう。何年も変更してないと危ないよ。

・パーミッションはこまめに消去して、セキュリティの低い個人アカウントから法人アカウントに被害が及ばないようにしよう。

・GoogleはiCloudと違って「2段階認証プロセスを使用する」オプションがあるので、ONにしておこう。こうすればパスワードが盗まれても携帯がないとログインできない。

・クラウドに頼るな。なんでもオンラインに保存しとくのは便利だけど、何かあった時にはハードドライブほどセキュアなものはない。

ところがよく調べてみたらマットのパスワードが弱かったとかじゃなくて、ハッカーは単にアップルの技術サポートに電話をかけてマットに成りすまし、セキュリティ保護用の質問を迂回してたんです。マットの翌日のアップデートにはこうありますよ。

「どう起こったか、やっとわかった。ハッカーとアップルの両方に確かめてみたら、パスワードが関連してるんじゃなかった。アップルの技術サポートから、巧みなソーシャルエンジニアリングを駆使してセキュリティ保護用の質問に答えずに入ったんだって。」

えーと、「ソーシャルエンジニアリング」というと高度な技のように聞こえますが、要するに肝心のセキュリティ保護用の質問にはのらりくらりはぐらかして答えてないのだけど、ウェブで誰でも知り得るような個人情報をアレコレ散りばめてうまいこと本人だと思わせるテクニック...。ダメじゃん、そんなのに引っかかっちゃ>アップル!

ただでさえアカウント乗っ取られるのは被害なのに、そこから大事な端末のデータが全部消去され、挙げ句の果て他のアカウントのパスワードまでリセットされちゃったのだから被害は倍ですよね。

マットは平均的なiCloudユーザーより沢山の情報を表に出してしまってたかもしれませんけど、セキュリティ保護用の質問の答えが表に出てない限りにおいては、いくら他の情報が表に出ていようが、そんなの関係ない。でもその保護用の質問がスルーされたら、ユーザーサイドではもうどうにもできないです。

せいぜい母親の旧姓(認証によく使われる)をツイートしないよう心がけることぐらいかな。クラウドの1本釣りは怖い...。

UPDATE: ワイヤードにマットが詳報を書きました。アップルはクレジットカードの下4桁の番号と請求先住所、このたった2つの情報で本人認証してしまったようです。

UPDATE2: アップルとアマゾンのセキュリティはこんなにもザルだった

[Emptyage]

EricLimer(原文1原文2/satomi)