iPhoneマイスター

iPhoneを中心にアップル製品に関するニュース、噂、レビューなどを中心にお伝えしています。

iCloudのパスワードがクラックされるとこうなる【悪夢のような実話】※追記あり

      2012/08/10

元ギズモードのライターであるMat Honan氏に襲った悪夢。ハッカーが彼のTwitter、Gmail、iCloudのパスワードを解読し、乗っ取ってしまいました。どうなってしまうかは想像通り。
※結局パスワードがハックされた訳ではありませんでした。記事の最後に追記があります。

スポンサードリンク

ハイジャックしたのはハッカー集団「Clan Vv3」。本人のTwitterアカウントが乗っ取られ、約50万のフォロアーを擁する公式Gizmodeアカウントから人種差別的なツイートが流れてしまいます。乗っ取り時間は15分。

もっと最悪なのが、iCloudアカウントを乗っ取られてしまったこと。本人もツイッターは「序の口」と述べており、iCloudアカウント乗っ取りで起きた悲劇をこう綴っています。(抜粋)

夕方の4時50分、誰かが自分のiCloudアカウントにログインして、パスワードをリセット。
そのパスワードは7文字のアルファベットと数字の組み合わせで、他で使い回しているようなものでは無かった。何年も前に設定して、そのときは安全なものだったけど今は違うようだ。

5時、iPhoneがリモートワイプされてしまう。(リモートワイプ・・・iPhoneのデータを遠隔操作で消去)

1分後、iPadもリモートワイプ。

5時5分、MacBook Airもリモートワイプ。

僕のiPhoneがワイプされたとき、娘と遊んでたんだ。セットアップの画面にリブートされた。そのときはソフトウェアのエラーか何かが原因だと思っていてさほど心配していなかった。
僕のiPhoneはiCloudを通じて毎晩自動的にバックアップされているから、iCloudにログインしてバックアップから復元しようと思ったら、パスワードが認められずログインできない。パスワードがリセットされてた。

iPadを仕事のカバンから出してみたら、そっちもワイプされてた。

妻のiPhoneを使ってAppleのサポートに電話。待っている間、妻のラップトップからGmailにログインしようとしたけど、そのパスワードも変えられてた。GmailはiCloudでバックアップをとっているけど、iCloudアカウントのパスワードが変えられちゃってるからリセットできない。

アップルのテックサポートはMacBookがリモートワイプされるのを止めることが出来なかったし、MacBook、iPhoneをすぐに使えるようにはしてくれなかった。サポートはあまり役に立たなかった。ジーニアスバーの予約は取ってくれたけど。

アップルはリモートワイプはリカバリーできなそうだと言っている。バックアップをとってなかった自分が悪いんだけど、1年分以上の写真、メールや書類やらがすっとんだ。

 

iCloudを使って複数のデバイスやサービスを管理していると、利便性は高まりますが、万が一のリスクも大きくなります。

このような悲劇を起こさないためにもiCloudのパスワードは定期的に変更しないといけませんね。そして、忘れにくいけど複雑な組み合わせのパスワードが必要です。

アップルが推奨するパスワードは以下の通り。

8 文字以上であること。
数字 (0-9) を 1 つ以上含むこと。
大文字のアルファベット (A-Z) を 1 つ以上含むこと。
小文字のアルファベット (a-z) を 1 つ以上含むこと。
同じ文字が 3 文字以上続かないこと。
そのパスワードを去年 1 年間使っていないこと。
Apple ID (ユーザ名) と同じでないこと。

 

私もこれからパスワードを設定し直します・・・。

ソース:Hacked iCloud password leads to nightmare

8月6日12:20 追記

本人の新しいツイートによると、iCloudの乗っ取りはパスワードは関係無かったようです。パスワードを使わないでiCloudアカウントに侵入。手法は古典的です。
ハッカーがMat氏になりすましてAppleのテクニカルサポートに電話。しかしサポートは本人確認の際に必要になるはずだったセキュリティ保護用の質問の答えでは本人確認をせず、別の情報で本人と誤認してしまった。つまり、「別の顧客になりすまして電話で管理者にパスワードの変更を依頼して新しいパスワードを聞き出す」というソーシャルエンジニアリングでハックされてしまったようです。

セキュリティ保護用の質問に答えなくとも済むくらい、「私は本物だ」と思いこませることのできる別の情報って何でしょうね。
Facebook、Twitterで公開している情報だと思うと怖いです。まぁ、ツイッターで母親の旧姓とか公開している人はいないでしょうが。

ソース:Hackers Got Into Honan’s iCloud Account With Deception, No Password Required

8月10日9:00 追記

手口が明らかになりました。
アップルとアマゾンのセキュリティはこんなにもザルだった

 - ニュース , ,

Comment

  1. 匿名 より:

    パスワードがバレた経緯によっては、どんだけ複雑なパスワードにしようが関係無いんじゃね?って気が。

  2. Inshin より:

    Gmailのパスワードをクラックされてそこからパスワードリセットのメールを全部受信できたから他のところのパスワードも変えられたんでしょ。
    強化すべきパスワードはメールの方です。

  3. リンク より:

    Twitterからきました。

    う〜ん、これって本人よりも、Appleの過失が大きい気がする。
    こういう非常事態の為に、ワイプした後でも元に戻せるようなバックアップってないのかな?
    この場合、Appleは何らかの形で補償してあげないといけないんじゃない?
    さすがに気の毒過ぎる。

    俺だったらAppleに食い下がるわ、ミスしてソーシャルエンジニアリングに引っ掛ったのは向こうさんなんだから、データ元に戻せと。

  4. 匿名 より:

    ギズモードジャパンのほうに詳細な記事出てるよ

Message

メールアドレスが公開されることはありません。

次のHTML タグと属性が使えます: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

  関連記事

macbookpro carbon
MacBookのボディにカーボンが採用される可能性

アップルは火曜日、カーボンファイバーを使った成形過程の特許を取得しました。これに …

gps-sim-card
年内にはauやdocomoでiPhone!?

携帯電話も固定電話のように、通信会社(キャリア)と端末製造会社(メーカー)が切り …

app-store
アップル、日本のApp Storeの一斉値上げを24時間以内に実施

アップルは、24時間以内に日本のApp Storeでの販売価格を一斉に値上げする …

no image
米アップル、iCloudのTVコマーシャルを放映開始

米Appleがクラウドサービス、iCloudのコマーシャルを放映開始。「iClo …

iPad
アップル、新しいiPadの新CMを放送開始

新しいiPad、第二弾のコマーシャルがアメリカで放送開始になりました。 スポンサ …

apple smart tv
ジョブズ氏が求めたテレビとは。アップル、2012年3月までに3種類のスマートTVを発表か

スティーブ・ジョブズ氏が生前語っていたこと。その中のうちの一つに「テレビ」があり …

iTV
Apple iTVは2014年以降アメリカのみでリリース?

アップル初のHDTVリリースの噂が出回ってから久しいですが、手に出来る日はさらに …

candle
iPhoneをキャンドルに出来るキャンドルスタンド型充電器が登場

iPhoneをキャンドルにしてディナーはいかが?iPhone用のキャンドルスタン …

Lytro
ジョブズ氏が全く新しいカメラを求めて接近したLytro社

生前、ジョブズ氏が変革をもたらしたかったものの、教科書、テレビ、そしてカメラ。そ …

iPhone5
次期iPhoneのバックパネルとされる部品がお目見え【iPhone 5】

Youtubeに新しいiPhoneであるiPhone 5のものとされる部品を紹介 …