iPhoneマイスター

iPhoneを中心にアップル製品に関するニュース、噂、レビューなどを中心にお伝えしています。

iCloudのパスワードがクラックされるとこうなる【悪夢のような実話】※追記あり

      2012/08/10

元ギズモードのライターであるMat Honan氏に襲った悪夢。ハッカーが彼のTwitter、Gmail、iCloudのパスワードを解読し、乗っ取ってしまいました。どうなってしまうかは想像通り。
※結局パスワードがハックされた訳ではありませんでした。記事の最後に追記があります。

スポンサードリンク

ハイジャックしたのはハッカー集団「Clan Vv3」。本人のTwitterアカウントが乗っ取られ、約50万のフォロアーを擁する公式Gizmodeアカウントから人種差別的なツイートが流れてしまいます。乗っ取り時間は15分。

もっと最悪なのが、iCloudアカウントを乗っ取られてしまったこと。本人もツイッターは「序の口」と述べており、iCloudアカウント乗っ取りで起きた悲劇をこう綴っています。(抜粋)

夕方の4時50分、誰かが自分のiCloudアカウントにログインして、パスワードをリセット。
そのパスワードは7文字のアルファベットと数字の組み合わせで、他で使い回しているようなものでは無かった。何年も前に設定して、そのときは安全なものだったけど今は違うようだ。

5時、iPhoneがリモートワイプされてしまう。(リモートワイプ・・・iPhoneのデータを遠隔操作で消去)

1分後、iPadもリモートワイプ。

5時5分、MacBook Airもリモートワイプ。

僕のiPhoneがワイプされたとき、娘と遊んでたんだ。セットアップの画面にリブートされた。そのときはソフトウェアのエラーか何かが原因だと思っていてさほど心配していなかった。
僕のiPhoneはiCloudを通じて毎晩自動的にバックアップされているから、iCloudにログインしてバックアップから復元しようと思ったら、パスワードが認められずログインできない。パスワードがリセットされてた。

iPadを仕事のカバンから出してみたら、そっちもワイプされてた。

妻のiPhoneを使ってAppleのサポートに電話。待っている間、妻のラップトップからGmailにログインしようとしたけど、そのパスワードも変えられてた。GmailはiCloudでバックアップをとっているけど、iCloudアカウントのパスワードが変えられちゃってるからリセットできない。

アップルのテックサポートはMacBookがリモートワイプされるのを止めることが出来なかったし、MacBook、iPhoneをすぐに使えるようにはしてくれなかった。サポートはあまり役に立たなかった。ジーニアスバーの予約は取ってくれたけど。

アップルはリモートワイプはリカバリーできなそうだと言っている。バックアップをとってなかった自分が悪いんだけど、1年分以上の写真、メールや書類やらがすっとんだ。

 

iCloudを使って複数のデバイスやサービスを管理していると、利便性は高まりますが、万が一のリスクも大きくなります。

このような悲劇を起こさないためにもiCloudのパスワードは定期的に変更しないといけませんね。そして、忘れにくいけど複雑な組み合わせのパスワードが必要です。

アップルが推奨するパスワードは以下の通り。

8 文字以上であること。
数字 (0-9) を 1 つ以上含むこと。
大文字のアルファベット (A-Z) を 1 つ以上含むこと。
小文字のアルファベット (a-z) を 1 つ以上含むこと。
同じ文字が 3 文字以上続かないこと。
そのパスワードを去年 1 年間使っていないこと。
Apple ID (ユーザ名) と同じでないこと。

 

私もこれからパスワードを設定し直します・・・。

ソース:Hacked iCloud password leads to nightmare

8月6日12:20 追記

本人の新しいツイートによると、iCloudの乗っ取りはパスワードは関係無かったようです。パスワードを使わないでiCloudアカウントに侵入。手法は古典的です。
ハッカーがMat氏になりすましてAppleのテクニカルサポートに電話。しかしサポートは本人確認の際に必要になるはずだったセキュリティ保護用の質問の答えでは本人確認をせず、別の情報で本人と誤認してしまった。つまり、「別の顧客になりすまして電話で管理者にパスワードの変更を依頼して新しいパスワードを聞き出す」というソーシャルエンジニアリングでハックされてしまったようです。

セキュリティ保護用の質問に答えなくとも済むくらい、「私は本物だ」と思いこませることのできる別の情報って何でしょうね。
Facebook、Twitterで公開している情報だと思うと怖いです。まぁ、ツイッターで母親の旧姓とか公開している人はいないでしょうが。

ソース:Hackers Got Into Honan’s iCloud Account With Deception, No Password Required

8月10日9:00 追記

手口が明らかになりました。
アップルとアマゾンのセキュリティはこんなにもザルだった

 - ニュース , ,

Comment

  1. 匿名 より:

    パスワードがバレた経緯によっては、どんだけ複雑なパスワードにしようが関係無いんじゃね?って気が。

  2. Inshin より:

    Gmailのパスワードをクラックされてそこからパスワードリセットのメールを全部受信できたから他のところのパスワードも変えられたんでしょ。
    強化すべきパスワードはメールの方です。

  3. リンク より:

    Twitterからきました。

    う〜ん、これって本人よりも、Appleの過失が大きい気がする。
    こういう非常事態の為に、ワイプした後でも元に戻せるようなバックアップってないのかな?
    この場合、Appleは何らかの形で補償してあげないといけないんじゃない?
    さすがに気の毒過ぎる。

    俺だったらAppleに食い下がるわ、ミスしてソーシャルエンジニアリングに引っ掛ったのは向こうさんなんだから、データ元に戻せと。

  4. 匿名 より:

    ギズモードジャパンのほうに詳細な記事出てるよ

Message

メールアドレスが公開されることはありません。

次のHTML タグと属性が使えます: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

  関連記事

No Cell Phone
iPhoneのマリンバでコンサート中断

iPhoneの人気No.1?の着信音、マリンバがコンサートを中断してしまうという …

au iPhone 5
【au版】月額最低料金でiPhone 5を利用するプラン詳細

ソフトバンク版iPhone 5の最低料金プラン記事に引き続き、au版のiPhon …

Siri
Siriがサードパーティー製アプリで動く日も遠くない?

昨日、アップルのマネージャーはSiriチームの求人情報をツイッター上でつぶやきま …

20090409015730
iphoneでのスカイプ通話を3gで

「Skype for iPhone」がバージョン2.0.0にアップデートされたこ …

taobao
中国でiPhone 5の予約販売始まる

アップルは今年の9月か10月には新しいiPhone、iPhone 5をリリースす …

Power Nap
Retina MacBook ProでもPower Nap使用可能へ。アップデート配布開始

アップルは”MacBook Pro Retina SMC アップデート 1.0” …

iPod touch
iPod touchの新しいCMがお目見え

新しいiPod touchのコマーシャルがアップルよりリリースされました。今回も …

iPhone 4S iOS 5 パノラマモード
iOS 5の隠し機能「パノラマモード撮影」を脱獄せずに有効化する方法が発見

iOS 5には「パノラマモード撮影」という隠し機能があり、脱獄せずとも設定で使え …

ipad 3
アップル、新型iPad発売に合わせてiPad2を299ドルから販売か

Digitimesは、アップルはローエンドのiPadモデルとしてiPad2の値段 …

project-black-mirror
Siriの未来 ― 以心伝心でSiriを操る『プロジェクト・ブラックミラー』

Siriの未来は?音声アシスタントSiriを使った凄いプロジェクトが水面下で進め …