Apple ID乗っ取りは(少し前まで)こんなに簡単でした

Apple ID乗っ取りは(少し前まで)こんなに簡単でした 1

米Gizmodo元記者のマット・ホーナン(Mat Honan)氏がApple ID他もろもろのアカウントをのっとられた事件でわかったことですが、アップルのコールセンターはクラッカーの悪意に対して非常にもろいものでした。クラッカーがホーナン氏のクレジットカード下4ケタと住所を言っただけで、ホーナン氏のアカウント情報を明け渡してしまったんです。

幸いアップルは電話でのパスワードリセットを停止したので今は同じことは起こらないはずです。でも、こんな被害に遭ったのは、ホーナン氏だけではありませんでした。同氏の「パスワードを抹殺せよ:文字列がもう僕らを守れない理由」と題したWiredの記事に、以下のようなチャットログが記されていました。これは今年1月、アップルのコールセンターとクラッカーの間で実際に行われたチャットです。

 

(アップルがクラッカーに「セキュリティ保護用の質問」をいくつか聞き、クラッカーは間違って回答。そのあとで)

アップル:では、こうしましょう。カスタムメールフォルダの名前をひとつ教えて下さい。

クラッカー:「Google」「Gmail」「Apple」ですかね。僕はグーグルのプログラマなので。

アップル:オーケー、「Apple」は一致しています。代替メールアドレスを教えていただけますか?

クラッカー:アカウント作るときに使った代替メールですか?

アップル:いえ、今パスワードリセットを送るメールアドレスです。

クラッカー:じゃ、「toe@aol.com」に送ってください。

アップル:お送りしました。

クラッカー:ありがとう!

アップルがクラッカーを食い止めるどころか、むしろ助け舟を出していたんです。この問題が顕在化する前は、クラッカーがある程度感じが良く、あきらめずにトライすれば、遅かれ早かれアカウントにアクセスできる状態でした。クラッカーはFacebookのプロフィール情報やらありがちな推測やらを組み合わせて、誰かのアカウントにアクセスできたんです。

アップルではもう対処済みとはいえ、他の会社ではどうなんでしょう? こんな風に口車だけでパスワードリセットされてしまうとしたら、ユーザーとしては用心のしようがありませんね...。

Wired

Image:Thinkstock/Getty Images

Mario Aguilar(原文/miho)