iPhoneマイスター

iPhoneを中心にアップル製品に関するニュース、噂、レビューなどを中心にお伝えしています。

iCloudのパスワードがクラックされるとこうなる【悪夢のような実話】※追記あり

      2012/08/10

元ギズモードのライターであるMat Honan氏に襲った悪夢。ハッカーが彼のTwitter、Gmail、iCloudのパスワードを解読し、乗っ取ってしまいました。どうなってしまうかは想像通り。
※結局パスワードがハックされた訳ではありませんでした。記事の最後に追記があります。

スポンサードリンク

ハイジャックしたのはハッカー集団「Clan Vv3」。本人のTwitterアカウントが乗っ取られ、約50万のフォロアーを擁する公式Gizmodeアカウントから人種差別的なツイートが流れてしまいます。乗っ取り時間は15分。

もっと最悪なのが、iCloudアカウントを乗っ取られてしまったこと。本人もツイッターは「序の口」と述べており、iCloudアカウント乗っ取りで起きた悲劇をこう綴っています。(抜粋)

夕方の4時50分、誰かが自分のiCloudアカウントにログインして、パスワードをリセット。
そのパスワードは7文字のアルファベットと数字の組み合わせで、他で使い回しているようなものでは無かった。何年も前に設定して、そのときは安全なものだったけど今は違うようだ。

5時、iPhoneがリモートワイプされてしまう。(リモートワイプ・・・iPhoneのデータを遠隔操作で消去)

1分後、iPadもリモートワイプ。

5時5分、MacBook Airもリモートワイプ。

僕のiPhoneがワイプされたとき、娘と遊んでたんだ。セットアップの画面にリブートされた。そのときはソフトウェアのエラーか何かが原因だと思っていてさほど心配していなかった。
僕のiPhoneはiCloudを通じて毎晩自動的にバックアップされているから、iCloudにログインしてバックアップから復元しようと思ったら、パスワードが認められずログインできない。パスワードがリセットされてた。

iPadを仕事のカバンから出してみたら、そっちもワイプされてた。

妻のiPhoneを使ってAppleのサポートに電話。待っている間、妻のラップトップからGmailにログインしようとしたけど、そのパスワードも変えられてた。GmailはiCloudでバックアップをとっているけど、iCloudアカウントのパスワードが変えられちゃってるからリセットできない。

アップルのテックサポートはMacBookがリモートワイプされるのを止めることが出来なかったし、MacBook、iPhoneをすぐに使えるようにはしてくれなかった。サポートはあまり役に立たなかった。ジーニアスバーの予約は取ってくれたけど。

アップルはリモートワイプはリカバリーできなそうだと言っている。バックアップをとってなかった自分が悪いんだけど、1年分以上の写真、メールや書類やらがすっとんだ。

 

iCloudを使って複数のデバイスやサービスを管理していると、利便性は高まりますが、万が一のリスクも大きくなります。

このような悲劇を起こさないためにもiCloudのパスワードは定期的に変更しないといけませんね。そして、忘れにくいけど複雑な組み合わせのパスワードが必要です。

アップルが推奨するパスワードは以下の通り。

8 文字以上であること。
数字 (0-9) を 1 つ以上含むこと。
大文字のアルファベット (A-Z) を 1 つ以上含むこと。
小文字のアルファベット (a-z) を 1 つ以上含むこと。
同じ文字が 3 文字以上続かないこと。
そのパスワードを去年 1 年間使っていないこと。
Apple ID (ユーザ名) と同じでないこと。

 

私もこれからパスワードを設定し直します・・・。

ソース:Hacked iCloud password leads to nightmare

8月6日12:20 追記

本人の新しいツイートによると、iCloudの乗っ取りはパスワードは関係無かったようです。パスワードを使わないでiCloudアカウントに侵入。手法は古典的です。
ハッカーがMat氏になりすましてAppleのテクニカルサポートに電話。しかしサポートは本人確認の際に必要になるはずだったセキュリティ保護用の質問の答えでは本人確認をせず、別の情報で本人と誤認してしまった。つまり、「別の顧客になりすまして電話で管理者にパスワードの変更を依頼して新しいパスワードを聞き出す」というソーシャルエンジニアリングでハックされてしまったようです。

セキュリティ保護用の質問に答えなくとも済むくらい、「私は本物だ」と思いこませることのできる別の情報って何でしょうね。
Facebook、Twitterで公開している情報だと思うと怖いです。まぁ、ツイッターで母親の旧姓とか公開している人はいないでしょうが。

ソース:Hackers Got Into Honan’s iCloud Account With Deception, No Password Required

8月10日9:00 追記

手口が明らかになりました。
アップルとアマゾンのセキュリティはこんなにもザルだった

 - ニュース , ,

Comment

  1. 匿名 より:

    パスワードがバレた経緯によっては、どんだけ複雑なパスワードにしようが関係無いんじゃね?って気が。

  2. Inshin より:

    Gmailのパスワードをクラックされてそこからパスワードリセットのメールを全部受信できたから他のところのパスワードも変えられたんでしょ。
    強化すべきパスワードはメールの方です。

  3. リンク より:

    Twitterからきました。

    う〜ん、これって本人よりも、Appleの過失が大きい気がする。
    こういう非常事態の為に、ワイプした後でも元に戻せるようなバックアップってないのかな?
    この場合、Appleは何らかの形で補償してあげないといけないんじゃない?
    さすがに気の毒過ぎる。

    俺だったらAppleに食い下がるわ、ミスしてソーシャルエンジニアリングに引っ掛ったのは向こうさんなんだから、データ元に戻せと。

  4. 匿名 より:

    ギズモードジャパンのほうに詳細な記事出てるよ

Message

メールアドレスが公開されることはありません。

次のHTML タグと属性が使えます: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

  関連記事

MacBook Pro
アップル、Retinaディスプレイ対応、新型MacBook Proのコマーシャルを公開

アップルは今日、NBAファイナルに合わせてRetinaディスプレイ対応、新型Ma …

gps-sim-card
年内にはauやdocomoでiPhone!?

携帯電話も固定電話のように、通信会社(キャリア)と端末製造会社(メーカー)が切り …

screenshot.25-06-2010-20.59.14
iPhone用のオシャレな壁紙発見!

これはかっこいい!!棚にアプリが乗っかるような壁紙です! スポンサードリンク i …

iphone5
iPhone5のタッチパネルに損傷見つかる

米cnetニュースによると、台湾系の部品製造会社WintekのiPhone5の製 …

Skype-Share
Skype 5.2リリース!グループビデオ通話でスクリーン・ドキュメント共有が可能に

Skype 5.2 for macがリリースされました。ダウンロードはこちらから …

iPhone-5-e
iPhone5の設計スケッチを入手!

iDeals Chinaによると、次期iPhoneとなるiPhone5の外観スケ …

AllthingsD
Siriにもうすぐ新たな機能が追加。ティム・クック氏語る

アメリカメディア All Things Digital の会議である「D10」( …

project-black-mirror
Siriの未来 ― 以心伝心でSiriを操る『プロジェクト・ブラックミラー』

Siriの未来は?音声アシスタントSiriを使った凄いプロジェクトが水面下で進め …

iMac
Ivy Bridge搭載の新型iMacは今秋リリースか

米FoxニュースのClayton Morris氏によると、アップルはこの秋にも新 …

iPad
新しいiPadはiPad2より5℃熱くなる

ドイツのWebサイトTweakers.netが新しいiPadに関する面白い検証記 …