iPhoneマイスター

iPhoneを中心にアップル製品に関するニュース、噂、レビューなどを中心にお伝えしています。

iCloudのパスワードがクラックされるとこうなる【悪夢のような実話】※追記あり

      2012/08/10

元ギズモードのライターであるMat Honan氏に襲った悪夢。ハッカーが彼のTwitter、Gmail、iCloudのパスワードを解読し、乗っ取ってしまいました。どうなってしまうかは想像通り。
※結局パスワードがハックされた訳ではありませんでした。記事の最後に追記があります。

スポンサードリンク

ハイジャックしたのはハッカー集団「Clan Vv3」。本人のTwitterアカウントが乗っ取られ、約50万のフォロアーを擁する公式Gizmodeアカウントから人種差別的なツイートが流れてしまいます。乗っ取り時間は15分。

もっと最悪なのが、iCloudアカウントを乗っ取られてしまったこと。本人もツイッターは「序の口」と述べており、iCloudアカウント乗っ取りで起きた悲劇をこう綴っています。(抜粋)

夕方の4時50分、誰かが自分のiCloudアカウントにログインして、パスワードをリセット。
そのパスワードは7文字のアルファベットと数字の組み合わせで、他で使い回しているようなものでは無かった。何年も前に設定して、そのときは安全なものだったけど今は違うようだ。

5時、iPhoneがリモートワイプされてしまう。(リモートワイプ・・・iPhoneのデータを遠隔操作で消去)

1分後、iPadもリモートワイプ。

5時5分、MacBook Airもリモートワイプ。

僕のiPhoneがワイプされたとき、娘と遊んでたんだ。セットアップの画面にリブートされた。そのときはソフトウェアのエラーか何かが原因だと思っていてさほど心配していなかった。
僕のiPhoneはiCloudを通じて毎晩自動的にバックアップされているから、iCloudにログインしてバックアップから復元しようと思ったら、パスワードが認められずログインできない。パスワードがリセットされてた。

iPadを仕事のカバンから出してみたら、そっちもワイプされてた。

妻のiPhoneを使ってAppleのサポートに電話。待っている間、妻のラップトップからGmailにログインしようとしたけど、そのパスワードも変えられてた。GmailはiCloudでバックアップをとっているけど、iCloudアカウントのパスワードが変えられちゃってるからリセットできない。

アップルのテックサポートはMacBookがリモートワイプされるのを止めることが出来なかったし、MacBook、iPhoneをすぐに使えるようにはしてくれなかった。サポートはあまり役に立たなかった。ジーニアスバーの予約は取ってくれたけど。

アップルはリモートワイプはリカバリーできなそうだと言っている。バックアップをとってなかった自分が悪いんだけど、1年分以上の写真、メールや書類やらがすっとんだ。

 

iCloudを使って複数のデバイスやサービスを管理していると、利便性は高まりますが、万が一のリスクも大きくなります。

このような悲劇を起こさないためにもiCloudのパスワードは定期的に変更しないといけませんね。そして、忘れにくいけど複雑な組み合わせのパスワードが必要です。

アップルが推奨するパスワードは以下の通り。

8 文字以上であること。
数字 (0-9) を 1 つ以上含むこと。
大文字のアルファベット (A-Z) を 1 つ以上含むこと。
小文字のアルファベット (a-z) を 1 つ以上含むこと。
同じ文字が 3 文字以上続かないこと。
そのパスワードを去年 1 年間使っていないこと。
Apple ID (ユーザ名) と同じでないこと。

 

私もこれからパスワードを設定し直します・・・。

ソース:Hacked iCloud password leads to nightmare

8月6日12:20 追記

本人の新しいツイートによると、iCloudの乗っ取りはパスワードは関係無かったようです。パスワードを使わないでiCloudアカウントに侵入。手法は古典的です。
ハッカーがMat氏になりすましてAppleのテクニカルサポートに電話。しかしサポートは本人確認の際に必要になるはずだったセキュリティ保護用の質問の答えでは本人確認をせず、別の情報で本人と誤認してしまった。つまり、「別の顧客になりすまして電話で管理者にパスワードの変更を依頼して新しいパスワードを聞き出す」というソーシャルエンジニアリングでハックされてしまったようです。

セキュリティ保護用の質問に答えなくとも済むくらい、「私は本物だ」と思いこませることのできる別の情報って何でしょうね。
Facebook、Twitterで公開している情報だと思うと怖いです。まぁ、ツイッターで母親の旧姓とか公開している人はいないでしょうが。

ソース:Hackers Got Into Honan’s iCloud Account With Deception, No Password Required

8月10日9:00 追記

手口が明らかになりました。
アップルとアマゾンのセキュリティはこんなにもザルだった

 - ニュース , ,

Comment

  1. 匿名 より:

    パスワードがバレた経緯によっては、どんだけ複雑なパスワードにしようが関係無いんじゃね?って気が。

  2. Inshin より:

    Gmailのパスワードをクラックされてそこからパスワードリセットのメールを全部受信できたから他のところのパスワードも変えられたんでしょ。
    強化すべきパスワードはメールの方です。

  3. リンク より:

    Twitterからきました。

    う〜ん、これって本人よりも、Appleの過失が大きい気がする。
    こういう非常事態の為に、ワイプした後でも元に戻せるようなバックアップってないのかな?
    この場合、Appleは何らかの形で補償してあげないといけないんじゃない?
    さすがに気の毒過ぎる。

    俺だったらAppleに食い下がるわ、ミスしてソーシャルエンジニアリングに引っ掛ったのは向こうさんなんだから、データ元に戻せと。

  4. 匿名 より:

    ギズモードジャパンのほうに詳細な記事出てるよ

Message

メールアドレスが公開されることはありません。

次のHTML タグと属性が使えます: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

  関連記事

IMG_1821
『私はSiriと申します。』アップル、iOS 5.1提供スタート

ついにきました、iOS 5.1。新しいiPad、新型Apple TVとともに発表 …

東急 Wi-Fi
日本初!東急、全駅で携帯3社Wi-Fiサービス提供へ

東京急行電鉄は本日、東急線の全駅にて、各携帯キャリアの公衆無線LANサービスを整 …

iOS 5.0.1
iOS 5.0.1は重大なセキュリティ問題に対処

iOS 5.0.1はバッテリー問題ばかり注目され、それを嘆くユーザーも多かったの …

120617-0001
ソフトバンク、iOS 6に合わせて「iPhoneかえトクキャンペーン」実施。注意点は?

iOS 6が発表され、対応デバイスも明らかになりました。意外にも3GSも利用可能 …

ipad-mini
iPad miniは既に生産開始!?今年の秋に登場か

iPad miniは既に生産がスタートしており、9月に生産ラインを増強するという …

microsoft-office-2013
マイクロソフト、iPad版Officeリリース間近か

マイクロソフトOfficeのiPad版がリリースされると言われて早くも半年ほど経 …

iPad-3-Retina-Display
iPhone 4Sのスクリーンはシャープ製?iPad3のLCDスクリーンも供給か

米ウォールストリート・ジャーナルによると、日本企業のシャープが次のiPadである …

lets_talk_iphone
新型iPhone発表イベント”Let’s Talk iPhone”のライブストリーミング

アップルはiPhone5の発表イベントのライブストリーミングは行わないとしていま …

oleo
iPhone5,iPad3は指紋、油が従来より付きにくいコーティングをスクリーンに採用か

iPhoneの画面って油や指紋が付きやすいですよね?次期iPhoneからはそれを …

apple_tv_2
アップル、Apple TV 3をiPad 3と同時に発表か

Apple TV 2は既に在庫限りかもしれません。次のモデルの発表はiPad 3 …