iTunesストアアカウントのセキュリティー問題、未だ解決されず 41
ストーリー by reo
漏洩ではなく実はバグなんじゃ… 部門より
漏洩ではなく実はバグなんじゃ… 部門より
eggy 曰く、
アップルサポート・フォーラム上に、iTunes ストアのクレジットが何者かによっていつの間にか勝手に使用されていたとするスレッドがあるのだが、去年の 11 月末の最初の投稿以来、未だにスレッドが伸びている (本家 /. 記事より) 。
昨年 11 月 28 日に立ち上げられたスレッドによれば、スレッド主はクレジットカードの登録はしておらず、iTunes ストア・ギフトカードのクレジットを使用していたため深刻な被害には及ばなかったとのことだが、たった一度 iTunes ストアから 99 セントの曲をダウンロードしただけなのに、2 回の注文で iPhone アプリを合計 50 ドル以上も購入したとする領収書を受け取ることになってしまったという。スレッド主の所有するコンピュータは PowerBook (?) 1 台のみであり、iPhone は所有していないという。その後アカウントを確認したところ、住所の州及び都市、郵便番号が変更されていたとのこと。また、パスワードを忘れた際の質問に母親の旧姓を設定していたが、答えがスレッド主の母親の旧姓でない「Murray」に勝手に変更されていたという。iTunes アカウントサポートにメールして被害を報告したところ、24 時間以内に回答が得られ、被害額がすべて払い戻されたとのこと。
このスレッドに対する書き込みは 700 件程も寄せられており、その内容をみれば、現在もなおこのセキュリティー問題が解決されていないことが分かる。アップルはこれ以上被害が拡大しないよう、早急に問題を解決するべきと思われる。
仕方ないから (スコア:5, おもしろおかしい)
パスワードは以下のルールで運用しましょうか
1.8文字以上
2.英数字と記号と大文字小文字を必ず混在させる
3.同じ文字列は連続使用できない(例:aabcdは×)
4.過去に使ったパスワードは使用出来ない
5.過去に使ったパスワードを一部変えての使用は出来ない(例:abcd1234 => abcd5678等はダメ)
6.誕生日や車のナンバーなどの類推出来るものは使用しない
7.パスワードの有効期間は2週間。2週間経過したら変更しなければならない
8.他のサイトで使用しているパスワードは使用出来ない
# 実際これに違い運用してるところあったけど、毎日の様にパスワードの問合せが来てたな・・・
# でもまぁパスワード自体がAppleから漏れたとかだと意味がないけど。
Re:仕方ないから (スコア:3)
音楽はお店でCDをお買い求めください!
#なんて事を声を大にして言いたい人たちはいっぱいいそう。
Re:仕方ないから (スコア:1)
どうやって実装するのか非常に興味があります。
notice : I ignore an anonymous contribution.
Re: (スコア:0)
他サイトで使っているパスワードを全部Appleに申告するような制度にすればいいと思います!
Re:仕方ないから (スコア:1)
パスワードはASCII文字なんだろうけど、部分一致だけで弾くと、1文字目の選択が128文字以下なので256週、5年くらいで新しいパスワードを作れなくなる、なんてbugが発生しそうな予感。(笑)
vyama 「バグ取れワンワン」
Re: (スコア:0)
4番はある程度実装されている様ですね。
以前、アタックが行われた時期があった様で、数日毎にアカウントが凍結されてパスワードの再設定を求められたのですが、途中から、同じパスワードを設定しようとしたところがはじかれて、じゃあいったん別のパスワードを設定してから戻そうとしたら、やはりはじかれる様になっていました。
こちらとしては割れなかったんだから、同じPWを使わせてほしいところではありましたが。
「ユーザのパスワード運用が」厨は高木氏くらいの定見を持ってから発言しよう (スコア:2, 興味深い)
プライベートでインターネットにアクセスするだけの一般ユーザに企業ユーザ並みのパスワード運用を求める方々には、「コンピュータリテラシーに乏しい自分の親や知人にも要求するんですか」って言いたい。
俺にはできない。どこかで妥協する。
高木浩光流 インターネットの歩き方(後編) [securityblog.jp]
パスワード変更の効果 (スコア:3, 参考になる)
パスワードを定期的に変更する事の効果に関しては、懐疑的な意見がありますね。
徳丸さんの記事(「パスワードの定期変更は「神話」なのか?」 [hatena.ne.jp]、「続パスワードの定期変更は神話なのか」 [hatena.ne.jp])とか、定期変更の間隔を短くしても、効果は頭打ちになる、という計算結果 [hatena.ne.jp]があったり。
パスワードの定期変更よりも、パスワードを1文字長くする方が、ブルートフォースに対する耐性は 100 倍近く高くなるわけだから、最低文字数を上げる方がずっと効果的なはず。
で、最近気がついたんだけど、OCN のメール用のパスワードが最大8文字に、かなり驚いた。
http://help.ocn.ne.jp/ols/mail/10002_m_infochk.html [ocn.ne.jp]
Re: (スコア:0)
パスワードが最大8文字
これってハッシュじゃなく平文でパスワードを保存してるってことだよなあ
Re: (スコア:0)
> 定期的というのは実際どのくらいですかって聞いてみるとね、誰も答えられないんですよ。
ログインしたときに「XX日間パスワードを変えていません」というメッセージが出てくるところがよくある。
これは、暗にそれに答えてるんじゃない?
Re:「ユーザのパスワード運用が」厨は高木氏くらいの定見を持ってから発言しよう (スコア:1, すばらしい洞察)
いやいやそれは管理者側がユーザーに判断を丸投げしてるのであって、高木先生のご指摘は、これこれの理由によりこのくらいの間隔で変更すべきである、ということを説明できる管理者がいない、ということでしょう。
Re: (スコア:0)
判断を「投げ」ているし、「理由」の提示もないけど、特定の日数で注意勧告を出すという決め事をしている以上、「丸投げ」ではないよね。
Re:「ユーザのパスワード運用が」厨は高木氏くらいの定見を持ってから発言しよう (スコア:1)
???
そいういうのを丸投げっていうんですが^^;
責任と判断を理由もなく「投げて」フォローや協力する事を放棄しているのですから。
日数の注意勧告ってのいわゆるはポーズですよね。
よく分からない仕事をあなたに「投げて」毎日「あれから○日たったね。」と言っていればあなたはあなたの知らない納期までに仕事を完遂してくれるのかな?
私はその仕事について何か聞かれても一切答えないけど。何日経過したか毎日知らせていたのだから失敗したらあなたの失敗として責任取ってくれるのかな?成功したら、私が経過日数を教えていたのだから私の手柄としていいのかな?
Re: (スコア:0)
たまにしか使わないJALのマイレージサイトが、セキュリティー向上を理由に暗証番号を四桁から六桁にしたとき、ダメになった。
普通、たまにしか使わない数字だけのパスワードで、何の関連性もない数字の羅列を覚えきれるのは四桁くらい。
数ヶ月おきにしか使わないのに六桁の乱数なんて無理。
それよりは英数字にして桁数を増やしたほうがまだよかった。
解決って何したらいいの? (スコア:0)
よそでパスワードを使い回しているというのはAppleに解決可能な問題とは思えないんだけど。
iBiometricsを開発してiTunesになかまをよばせるとか?
Re:解決って何したらいいの? (スコア:3, 興味深い)
iTSでしか使って無いアカウント/パスワードなのに、何故かAppleから再設定のお願いメール貰いましたが。
使い回しの物も有るかもしれないけど、別要因も有りそうです。
やっぱ安全の為には基本はクレカでなく、プリペイドでの利用、かな。
Re: (スコア:0)
契約上、あなたが使ってようが使ってまいが支払いの責任はあなたにある筈
当然支払い方法がクレジットカードに変更されてそのカードが偽造で引き落とせなかったときもあなたに請求がいきますよね?
Re:解決って何したらいいの? (スコア:1)
> 契約上、あなたが使ってようが使ってまいが支払いの責任はあなたにある筈
しかし1ヵ月後に問答無用で引き落とされるか、請求書や督促状を送ってくるだけってのは、事件の複雑さが違いますがな。
アップルが弁償するとなったところで、カード引落ならカード会社という第3者も巻き込んで事後処理をしなきゃいけない。それよりアップルから「わかりました。その請求書破棄してください」で済めば労力は全然違うよ。
Re:解決って何したらいいの? (スコア:1)
iTSのセキュリティがザルで、事前で登録されたクレカの番号から個人情報から全てダダ漏れ。
挙句、再度侵入を許した上に、事前のクレカ番号に書き直しなんて事が出きるのなら、有りえるでしょうね。
しかし、現状は無効化のままですので、流石にその可能性は低いかと。
可能なら、再設定のお願い通知すら、犯人の手の内って事に。
#そこまで出来ればもう、内部犯行の可能性が無茶苦茶高くなると思う。
Re: (スコア:0)
パスワードを使い回ししてたってのはどこに書いてあるの?
Re:解決って何したらいいの? (スコア:1)
つまり、どちらも確固たる証拠は無い。
にも関わらず、Appleからの漏えいの可能性は絶対無く、ユーザーからの漏えいの可能性は必ず有る、と。
フツーはどっちも有ると考えるのが基本。
特にセキュリティなら影響の大きくなるサービス提供側が先ず優先項目に成る。
Re: (スコア:0)
人の家に警官のふりして入り込むようなやつが信頼できるとでも?
Re: (スコア:0)
Apple信者の知能ってこんなもんか。
Re: (スコア:0)
そりゃ、馬鹿にも使える優しいMacだもの。
いつやられるかわからない殺伐としたWindows世界とは違いますよ。
Re: (スコア:0)
ソニーがPSNのアカウント漏洩問題において調査の結果セキュリティに問題はなくユーザー側から漏れたに違いないという対応をし既知のセキュリティホールを放置したために世界最大の個人情報漏洩事件に発展した事は記憶に新しい
Re: (スコア:0)
つまりPSNも「ユーザから漏れたということにする」「セキュリティホールの調査をしない」というポリシーを貫いていればAppleのごとき革命的なセキュリティを保てていた、ということですねわかります
どこから漏れたのか (スコア:0)
アカウントやパスワードはアップルが漏らしたの?
もしユーザーが自分の責任で漏らしたり盗まれたり推測されたりしたのなら、アップルに解決を求めるのは筋違いだよね。
Re:どこから漏れたのか (スコア:4, すばらしい洞察)
そういう調査すらしないのがAppleなんだよね。
iPodにバッテリーが爆発する事故が多発して、「欠陥があるか調べろ」
と行政から言われても「調査中」というステータスのまま数年経過。
調べてAppleに原因があるとわかったら、巨額補償をしなきゃいけなくなる
から個別補償してごまかしてるだけ。
誰が不正アクセスしたのか調べられるのはAppleだけであり、ユーザが
それを調査するのは不可能だよね。
さらに、同じパスワードの使いまわしとか言ってる人がいるけども、
それならiTunes以外でも同じ被害があるはずだし、iTunesでしか
使ってないアカウントでやられたという報告もある。
クレジットカード会社では不正利用のパターンを認識して、
アラートを出して止めるよね。
世界一のIT企業のはずのAppleが、なぜそんなことができないのか
不思議でしょうがない。
やれるけど、やらない理由、すなわちそれは自らの瑕疵を認めることに
なるからやらないということ以外に何がある?
あんなに現金資産が貯まりすぎ、株主から「金を使え」っていわれる
くらいなのに、なんでそんなにお金を守ろうとするんだろう。
守銭奴ってやつ?
Re: (スコア:0)
単に
「払わないで済むなら払わない。払わせられそうなら無理筋でも請求」
ってだけの様にも思うんだ。
それならApple社の対応って首尾一貫していると思えるもん。
Re:どこから漏れたのか (スコア:2)
いや、パスワード方式の認証を採用しているのはappleだから、責任はあるでしょう。推測されやすいパスワードは使えないようにするとか、1週間ごとに変更させるとか、一定の対策も考えられるし。やり過ぎるとパスワードが分からなくなったという問い合わせが増えて対応に苦慮してしまうだろうけど。
Appleはハードウェアも作っているんだから、生体認証を搭載して普及を目指してもいいかもしれない。一時期は指紋センサー付きマウスがいくつかのメーカーから出荷されていたけど、最近は見かけないね。
Re: (スコア:0)
確かにユーザ側に不備があったケースもあるでしょうが、すべてそうだとは言い切れないから余計ややこしくなってる気がします。
本家記事では、「アップルはパスワードが弱いか、フィッシング詐欺で盗まれていると示唆している」とか書いてあるけど
それだけが問題、とははっきり判明してないですよね…?
Re: (スコア:0)
Hiroki (REO) Kashiwazaki
Re: (スコア:0)
あなたはあなたで煽りを入れないと誤字の指摘ができない病気のご様子。
お大事に。
Re: (スコア:0)
なんでreoはIDで書かないの?
Re: (スコア:0)
reoはもうIDで書いてるじゃん。
それとも#2019057がreoだと思ってるの?
そして仮にreoだったらどうで、逆にreoじゃなかったらどうだって言うの?
Re: (スコア:0)
> そして仮にreoだったらどうで、逆にreoじゃなかったらどうだって言うの?
あなたは#2019057がreoだったらどう思いますか?
Re: (スコア:0)
俺はreoじゃないのに俺をreoだと思って煽る奴は馬鹿じゃないかと思います
Re: (スコア:0)
そういうことにしておきましょうか。