iPhoneマイスター

iPhoneを中心にアップル製品に関するニュース、噂、レビューなどを中心にお伝えしています。

iCloudのパスワードがクラックされるとこうなる【悪夢のような実話】※追記あり

      2012/08/10

元ギズモードのライターであるMat Honan氏に襲った悪夢。ハッカーが彼のTwitter、Gmail、iCloudのパスワードを解読し、乗っ取ってしまいました。どうなってしまうかは想像通り。
※結局パスワードがハックされた訳ではありませんでした。記事の最後に追記があります。

スポンサードリンク

ハイジャックしたのはハッカー集団「Clan Vv3」。本人のTwitterアカウントが乗っ取られ、約50万のフォロアーを擁する公式Gizmodeアカウントから人種差別的なツイートが流れてしまいます。乗っ取り時間は15分。

もっと最悪なのが、iCloudアカウントを乗っ取られてしまったこと。本人もツイッターは「序の口」と述べており、iCloudアカウント乗っ取りで起きた悲劇をこう綴っています。(抜粋)

夕方の4時50分、誰かが自分のiCloudアカウントにログインして、パスワードをリセット。
そのパスワードは7文字のアルファベットと数字の組み合わせで、他で使い回しているようなものでは無かった。何年も前に設定して、そのときは安全なものだったけど今は違うようだ。

5時、iPhoneがリモートワイプされてしまう。(リモートワイプ・・・iPhoneのデータを遠隔操作で消去)

1分後、iPadもリモートワイプ。

5時5分、MacBook Airもリモートワイプ。

僕のiPhoneがワイプされたとき、娘と遊んでたんだ。セットアップの画面にリブートされた。そのときはソフトウェアのエラーか何かが原因だと思っていてさほど心配していなかった。
僕のiPhoneはiCloudを通じて毎晩自動的にバックアップされているから、iCloudにログインしてバックアップから復元しようと思ったら、パスワードが認められずログインできない。パスワードがリセットされてた。

iPadを仕事のカバンから出してみたら、そっちもワイプされてた。

妻のiPhoneを使ってAppleのサポートに電話。待っている間、妻のラップトップからGmailにログインしようとしたけど、そのパスワードも変えられてた。GmailはiCloudでバックアップをとっているけど、iCloudアカウントのパスワードが変えられちゃってるからリセットできない。

アップルのテックサポートはMacBookがリモートワイプされるのを止めることが出来なかったし、MacBook、iPhoneをすぐに使えるようにはしてくれなかった。サポートはあまり役に立たなかった。ジーニアスバーの予約は取ってくれたけど。

アップルはリモートワイプはリカバリーできなそうだと言っている。バックアップをとってなかった自分が悪いんだけど、1年分以上の写真、メールや書類やらがすっとんだ。

 

iCloudを使って複数のデバイスやサービスを管理していると、利便性は高まりますが、万が一のリスクも大きくなります。

このような悲劇を起こさないためにもiCloudのパスワードは定期的に変更しないといけませんね。そして、忘れにくいけど複雑な組み合わせのパスワードが必要です。

アップルが推奨するパスワードは以下の通り。

8 文字以上であること。
数字 (0-9) を 1 つ以上含むこと。
大文字のアルファベット (A-Z) を 1 つ以上含むこと。
小文字のアルファベット (a-z) を 1 つ以上含むこと。
同じ文字が 3 文字以上続かないこと。
そのパスワードを去年 1 年間使っていないこと。
Apple ID (ユーザ名) と同じでないこと。

 

私もこれからパスワードを設定し直します・・・。

ソース:Hacked iCloud password leads to nightmare

8月6日12:20 追記

本人の新しいツイートによると、iCloudの乗っ取りはパスワードは関係無かったようです。パスワードを使わないでiCloudアカウントに侵入。手法は古典的です。
ハッカーがMat氏になりすましてAppleのテクニカルサポートに電話。しかしサポートは本人確認の際に必要になるはずだったセキュリティ保護用の質問の答えでは本人確認をせず、別の情報で本人と誤認してしまった。つまり、「別の顧客になりすまして電話で管理者にパスワードの変更を依頼して新しいパスワードを聞き出す」というソーシャルエンジニアリングでハックされてしまったようです。

セキュリティ保護用の質問に答えなくとも済むくらい、「私は本物だ」と思いこませることのできる別の情報って何でしょうね。
Facebook、Twitterで公開している情報だと思うと怖いです。まぁ、ツイッターで母親の旧姓とか公開している人はいないでしょうが。

ソース:Hackers Got Into Honan’s iCloud Account With Deception, No Password Required

8月10日9:00 追記

手口が明らかになりました。
アップルとアマゾンのセキュリティはこんなにもザルだった

 - ニュース , ,

Comment

  1. 匿名 より:

    パスワードがバレた経緯によっては、どんだけ複雑なパスワードにしようが関係無いんじゃね?って気が。

  2. Inshin より:

    Gmailのパスワードをクラックされてそこからパスワードリセットのメールを全部受信できたから他のところのパスワードも変えられたんでしょ。
    強化すべきパスワードはメールの方です。

  3. リンク より:

    Twitterからきました。

    う〜ん、これって本人よりも、Appleの過失が大きい気がする。
    こういう非常事態の為に、ワイプした後でも元に戻せるようなバックアップってないのかな?
    この場合、Appleは何らかの形で補償してあげないといけないんじゃない?
    さすがに気の毒過ぎる。

    俺だったらAppleに食い下がるわ、ミスしてソーシャルエンジニアリングに引っ掛ったのは向こうさんなんだから、データ元に戻せと。

  4. 匿名 より:

    ギズモードジャパンのほうに詳細な記事出てるよ

Message

メールアドレスが公開されることはありません。

次のHTML タグと属性が使えます: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

  関連記事

iphon4-100607-1
iPhone5のバックパネルはメタル、スクリーンは4インチを下回る可能性

アップルの大手海外サプライヤーDIGI TIMESによるiPhone5の新情報が …

appleteam-090115-3
iPhone5は10月4日発表が濃厚

アップルは10月4日にメディアイベントを開催すると推測されています。そこでiPh …

iWatch
サファイアガラスはiPhone 6でなくiWatchに使用される見通し

中国からの最新のレポートによると、iPhone 6に採用される噂のあったサファイ …

Siri
Siriで買い物ができるようになるかも

今後のSiriのアップデートで、Siriを使ってアプリや曲の購入ができるようにな …

iPhone 5
iPhone 5の実機写真が流出!?新デザイン採用の新しいiPhone

中国のサイト、TGBUSから第六世代iPhoneと思われる実機写真がリークされて …

wwdc2012
WWDC 2012の目玉はiOS 6、OS X、iCloud、そしてAirPlayも。会場の設営始まる

WWDC 2012もいよいよ会場設営が始まりました。ガラス張りの会場内部の様子を …

frontpanel
iPhone 5のフロントパネル画像が遂に登場!?

次期iPhoneのものとされるフロントパネルの画像が遂に登場です。 スポンサード …

Time Steve Jobs
タイム誌のカバーにみるスティーブ・ジョブズ

1982年に始まり、ジョブズ氏は米タイム誌のカバーに8回登場しました。 スポンサ …

飛行機にiPad搭載
航空機の機内サービスにiPad導入。TVに比べ2トンも節約可能

シンガポールの格安航空会社Scoot Pte’sは機内エンターテイメ …

iphone59to5mac
iPhone5のフロントガラスがお目見え!

中国からニュースです。中国にあるアップル製品の部品販売店から、新型のiPhone …