パスワードを忘れた? アカウント作成
5938799 story
アップル

iCloudアカウントが乗っ取られiPhoneやiPad、MacBookが遠隔消去される 52

ストーリー by hylom
iCloudアカウントだけの話ではなかった 部門より
あるAnonymous Coward 曰く、

iPhoneやiPadといったiOSデバイスや、Mac OS X Mountain Lionには、iCloud経由でリモートからデータを完全消去する機能が備えられている。デバイスの盗難時に個人情報や重要な情報が漏洩するのを防ぐ機能なのだが、逆にiCloudアカウントが乗っ取られてしまうと、第三者によってリモートからデバイスが消去されてしまう危険性もある。GIZMODOによると、米GIZMODOの元ライターMat Honan氏が実際にこの被害に遭ったという(ギズモード・ジャパン)。

iCloudのアカウントがハックされた経緯についても述べられているが、パスワードが盗まれたわけではなく、攻撃者は当人になりすましてAppleのサポートに電話をかけ、いわゆるソーシャルエンジニアリング的なテクニックでアカウントを乗っ取ったという。このような場合データが削除された責任はApple側にあるとも考えられるのだが、Apple側はどのような対応をするのだろうか。

WIREDにて、どのような手段でアカウントを乗っ取られたのかというのが解説されている。これによると、まず攻撃者は公開されていたHonan氏のGmailアドレスを入手。次にGoogleアカウントの「アカウントにアクセスできない場合」ページにアクセスし、パスワードの再設定画面で表示される「次の予備メール アドレスにパスワード再設定リンクを送信」画面から、iCloudで使われるApple ID(「me.com」ドメインのメールアドレス)を入手。ここではメールアドレスの一部が「m*****n@me.com」のようにマスクされて表示されるものの、@よりも前の部分がGmailのメールアドレスと同じものだったことから、容易にメールアドレスを推測できてしまったという。

次にHonan氏が所有している個人サイトのドメイン名のWhois情報からその住所を入手。続いてAmazonに電話し、「クレジットカード番号を追加したい」と言って、新しいクレジットカードをHonan氏のアカウントに追加する。このとき必要なのはアカウント名とメールアドレス、住所のみ。登録が完了したら、再度Amazonに電話をして、「パスワードを忘れた、メールも届かない」と申告してパスワードリセットとともに登録メールアドレスの変更処理を行ってもらう。ここでは住所とクレジットカード番号が必要なので、先に追加したクレジットカード番号を申告し、同時に登録メールアドレスの変更も行ってもらう。最後にパスワードのリセットを行って、登録したメールアドレス経由でパスワードの変更処理を行えばAmazonアカウントの奪取は完了となる。

最後にAppleのサポートに電話し、Amazonアカウントに登録してあった個人情報を使ってパスワードの再発行を行う。このとき登録してあるクレジットカード番号の下4桁が必要になるとのことだが、これはAmazonのアカウントページから知ることができるという。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by hahahash (41409) on 2012年08月07日 19時07分 (#2207995) 日記

    もちろん、Appleの本人確認も大問題だが、
    Amazonにも問題あるだろ、これ。

    • by skapontan (35455) on 2012年08月07日 19時24分 (#2208001) 日記

      どっちかというと、Amazonアカウントが乗っ取られて、そこに登録した個人情報が漏れたのが問題だよね。
      犯人が追加した以外のクレカも使い放題じゃないの?
      クレカ会社は盗難として処理してくれるだろうか?
      Amazonの方が怖いわ。

      親コメント
      • by Anonymous Coward

        ってゆーか、この手法では犯人側がクレジットカードとか、本人の情報を残しちゃってますよね。そっちから足がつけばアウトという気が…。

        で、教訓としては、端末のデータを失っても泣かないように「データはバックアップサーバにちゃんと残しておきましょう」ということ?

      • by Anonymous Coward

        日本の amazon は知らんが、アメリカのアマゾンは、登録してあるクレジットカードで、新しい住所に送るときは、番号の再入力が必要だから、まぁそういう被害は起こりにくい。はず。

      • by Anonymous Coward

        >犯人が追加した以外のクレカも使い放題じゃないの?
        >クレカ会社は盗難として処理してくれるだろうか?
        >Amazonの方が怖いわ。

        それはない。今確認してみた。
        アカウント管理画面に入れても、カード番号は下四桁だけしか見れない。

        ただし、Appleのサポートが本人確認で使うのが、この四桁だけで十分な脆弱なものであっただけ。

        • by Anonymous Coward

          #2208062 [srad.jp]のコメントのように、相手のカードで買いまくって相手の登録済みの住所(標的とか、その知人とか)に送りつけるって嫌がらせは可能かもな。

    • 確かAmazonはメールアドレスでログインするので、
      メールアドレスと住所が紐付けされると乗っ取られる可能性があるということに

      クレカの下4桁を表示する通販サイトは多いので、
      Appleの対応も改善して欲しいですね

      親コメント
  • 心理的には, (スコア:3, すばらしい洞察)

    by Anonymous Coward on 2012年08月07日 20時20分 (#2208031)

    情報を漏らす,変更,消去というような,既存情報に関する行為に対してはセキュリティ的に問題があると感じやすいけれども,
    「追加」
    という,既存情報をいじらないような行為については意識が甘くなりそう.

    そういう意味では,この一連の流れの中での心理学的なポイントは

      amazon におけるクレジットカードの追加

    にあるとみた.
    # しかも,このクレジットカード番号が次の手順を進めるために使われる.

    さすが犯罪者の類は目の付け所が違うなあ… (感心してどうする)

    • by JULY (38066) on 2012年08月08日 9時41分 (#2208279)

      Amazon 側も、ここに問題があると考えて、運用ポリシーを変更したようです。

      Amazon の運用ポリシー変更を伝える Wired の記事 [wired.com]

      親コメント
    • by Anonymous Coward on 2012年08月07日 22時54分 (#2208105)

      オレオレ詐欺の手口で、
      まず、「携帯番号変わったから教えるわ」といって息子になりすまし詐欺師側の電話番号を教える
      ってのを思い出した。

      親コメント
    • by Anonymous Coward

      パスワードを使ってログインしなければ出来ないはずのクレジットカード番号の追加が、
      電話を使えばメールアドレスや住所といった公開情報だけで出来てしまうというのが穴ですね。

      メールアドレスの変更も通常ならばパスワードが必要なわけですが、
      これまた電話ならばカード番号でいけてしまう。
      パスワードリセットは比較的オープンな情報だけで出来るのが一般的ですから
      それ自体はともかく、メールアドレスが変更されている時点でアウト、と。

      • by kei100 (5854) on 2012年08月07日 21時33分 (#2208060)

        そちらもですが、クレカで決済+自宅配送+メールアドレスを配達ステータスやら請求情報とかを送るといった理由で入手したら悪意ある店舗は簡単にAmazonアカウント乗っ取れるって事ですよね。
        余りに脆い気がする・・・

        親コメント
        • by Anonymous Coward on 2012年08月07日 23時00分 (#2208111)

          大学の頃IDカード(ID番号記載)に電子マネー機能がついていて大学のアカウントのパスワードがデフォルトで誕生日だった。

          誕生日にそのIDカードを使って買い物すると親切にもHappy Birthdayと表示してくれる・・・。

          おちゃめなセキュリティーホールだなーと思ってた。

          親コメント
          • by Anonymous Coward

            誕生日をパスワードにしてはいけないという教育でしょうかね

  • 自分の経験 (スコア:3, 興味深い)

    by Anonymous Coward on 2012年08月07日 22時26分 (#2208085)

    会社の名前で電話して、健康保険協会に紛失の報告

    保険証の再発行

    市役所にて、保険証を提示、住所氏名は登記事項なので、公開情報だから、住民票移動、戸籍抄本、住民票が取得できる

    住民票と戸籍抄本により新住所で免許証再発行

    免許証を用いて個人及び会社のキャッシュカード再発行

    までできてしまった。

    実質的に身分証明ゼロで、完全な身分証明書と個人及び会社の全資産へのアクセスを確保できたのでびっくりした。もちろん取得したのは自分の資産へのアクセスだったわけだが、ここまでの情報と照明があれば会社名義個人名義で借金することも可能だろうと思う。

    • by Anonymous Coward

      オウム逃亡犯の斉藤明美氏と同じやり方ですね。

    • by Anonymous Coward

      保険証をうっかり落として悪意のある他人に拾われたら、これと同じ事態が起こるってことだよな…
      怖ぇぇ

    • by Anonymous Coward

      なぜこの手順で「会社の全資産へのアクセスを確保」出来るんだろうか?

      • by Anonymous Coward

        健康保険証を自宅送付扱いにしてもらったとしたら、とんでもないかも。
        健康保険証って、加入者の自宅情報なんて管理してないから、電話口で言いなりの場所に送れたとしたらそれはそれで問題。

      • by Anonymous Coward

        元コメ読んだ限り事業主なんじゃないのかなと思います。

      • by Anonymous Coward

        住所氏名が登記されているということは代表取締役でしょう。

  • 次にHonan氏が所有している個人サイトのドメイン名のWhois情報からその住所を入手。

    昔は技術的,倫理的必要性があってこうしてるんだろうけど,
    現代においてこれって本当に必要なの?
    犯罪抑止の観点で言えば,悪いことをする人は代理公開サービスを利用するだろうしあまり意味がない(と思う).
    ドメイン売買する人は大抵連絡先をhttpで発信している.

    今回の問題でここが一番クリティカルだ,という主張をするつもりはありませんが,
    いくらドメインを持っているからと言って,住所を全世界に公開するのはやりすぎだと思う.

    • by Anonymous Coward

      >昔は技術的,倫理的必要性があってこうしてる
      >んだろうけど,現代においてこれって本当に
      >必要なの?

      取引先のwhois情報が「お名前どっとこむ」とかだったら、一歩引いて相手を見るけどね。
      必要とかそういう問題じゃないよね。そもそも住所を公表することがアカウント乗っ取りのキーになってはいけないわけでしょ。
      あなたも言及しているように、自分の個人情報の管理を他者に代行させることは可能だし、自分の個人情報を名乗るのは自由だ。名乗る人たちが作ったプロトコルが嫌なら別のプロトコルを使えばよい。

      ドメイン登録して実名が公表されている人も、土

  • by benzene975 (41852) on 2012年08月07日 22時09分 (#2208080) 日記

    Amazonがどうのこうのとか、遠隔消去がどうのこうのとか言われていますが、
    元記事によると(全部は読んでいないのであしからず……)、Appleのテクニカルサポートは秘密の質問と答えを認証する際に
    Honan氏のラストネームを誤って認識するなど、一概にAmazonが悪いかといえばそういうわけでもないようです(まあこれは事後のことですが)。
    また、Google・Amazon・AppleのアカウントのみならずTwitterのアカウントまで乗っ取られていた模様。
    もちろん実際にApple IDを用いて (iCloudのIDとApple IDは一緒) 端末のデータをリモートワイプされているので、
    「iPhoneやiPad、MacBookが遠隔消去される」は大げさな表現でも語弊のある言い方でもなんでもない、と。

    さて「明日は我が身」ということで、元記事を参考にしつつ解決策を考えてみると
    「Googleの二段階認証システムを利用する」
    「ID・パスワードの類はサイトごとに異なるものを使用する」
    ……などなど、よくセキュリティ関連の話題で上るような対策だけで十分というか、ユーザーである我々にできることはそれくらいしかないですね。
    企業の過失というよりも、単純に個人レベルのセキュリティ意識が低かったというお話でしょう。
    今回はたまたま攻撃者がギズモードを直接標的にはしていなかったようなので大丈夫だったようですが。

    # なんとなく、攻撃者は数学が得意そうなイメージ。段取りが実にうまい。

    --
    自由の行使には責任を伴わなければならない
    • by Anonymous Coward on 2012年08月07日 22時38分 (#2208093)

      >Google・Amazon・AppleのアカウントのみならずTwitterのアカウントまで乗っ取られていた模様。
      どちらかというと
      「Twitterのアカウントを取得する「ために」、ソーシャルエンジニアリングの手口を用いた。
       Google、Amazon 、Appleはその手段だった」
      みたいに聞いた。

      本人は「悪いのは自分だったけど、AppleとAmazon の脆弱性(?)についても、みんなに知っておいて欲しい」とかなんとか言ってる感じ。
      #今、元記事読もうと悪戦苦闘しているところ。orz

      >「ID・パスワードの類はサイトごとに異なるものを使用する」
      IDがE-mailアドレスになってるのも多いので、「アドレスを複数用意して使い分ける」というのが重要みたいですね。
      特にAmazonとAppleで。

      親コメント
      • by Anonymous Coward

        >IDがE-mailアドレスになってるのも多いので、「アドレスを複数用意して使い分ける」というのが重要みたいですね。
        Gmailのエイリアスの"+"記号が入ってるとメールアドレスとして認識されなところが多々あるから困る。
        (そしてhogehoge..@example.comはハネられない)

    • by Anonymous Coward

      whoisに本当の情報を書かない

      #悩ましい……

  • by Anonymous Coward on 2012年08月07日 19時23分 (#2208000)

    "iPhoneやiPad、MacBookが遠隔消去される" は流石に語弊がありますし、
    本文を読むと、むしろAmazonアカウントの問題点が気になるところです。

    • 「遠隔消去された」のは事実のようですよ。
       # ほんとに消えてるかどうかは伝聞ですが、リモートワイプは使えるので。
       # "Find My (iPhone | iPad | Mac)"を使って、リモートワイプしてみるとお手元のiOS端末で試せますよ。

      今回の事案の問題点は、大きく分けて2つあって、独立だと思います。
       1. iCloudアカウント乗っ取られ時のリスク
       2. アカウント攻略の手法

      1.のリスクは、平たく言えばApple製品が密結合だから軒並み吹っ飛ぶって話なわけですが。

      リモートワイプ機能で初期設定に戻しましょう。後からiPhoneが見つかった場合は、iCloudまたはiTunesを使って一番新しいバックアップからデータを復元することができます。
      http://www.apple.com/jp/iphone/built-in-apps/find-my-iphone.html [apple.com]

      iPhoneならMacでバックアップから復帰すりゃいいんですが、
      Find My Macでリモートワイプが使えるようになってると、Macの中身が初期設定に戻されちゃって復帰のしようが無くなると。
       # まあ、本来はMacでバックアップ(TimeMachine)をとっとくべきなのですが:-(

      2. の攻略は、やっぱりどっちかっていうとApple側の問題かなーという気もします。
      (Amazonでお買い物すると分かるんですが)お届先住所を変更すると、クレカ番号フルに入れなおさせるんですよね。
      つまり、クレジットカード番号と住所とを知っている人しか買い物できないわけです。
       # クレカの追加にしても、攻撃者のクレカを追加して登録してある住所に届けたところで、意味は無いわけで。

      Amazonアカウントから漏れた個人情報って、要はクレカ番号の下4桁でしょう?
      Appleサポートがパスワードの再発行を行う際に、クレカの下四桁でOKしちゃうところが弱いんだと思います。

      リモートワイプがONになってるiCloudアカウントのパスワードリセットは、(多少面倒でも)もっと厳密に運用したほうが良いんじゃないかなあ。

      親コメント
    • というかタイトルだけだとデビッド・カッパーフィールド的な光景が浮かぶ。

      親コメント
    • by Anonymous Coward on 2012年08月07日 20時44分 (#2208039)

      ギズモード日本語版
      http://www.gizmodo.jp/2012/08/gizmodoicloud_hack.html [gizmodo.jp]

      ギズモードが最初に「iCloudハック」と記事にして、やじ馬Watchが追随。
      http://internet.watch.impress.co.jp/docs/yajiuma/20120806_551625.html [impress.co.jp]

      ギズモードは続報というか追記で「実はなりすましでした。(・ω) テヘペロ」
      と誤魔化してるけど、釣り気味のタイトルを出したのは当のギズモード。

      親コメント
    • by Anonymous Coward

      hylom だw
      PVが欲しいのだろうw

  • by Anonymous Coward on 2012年08月07日 22時50分 (#2208104)

    いろんな会社の不具合を探して、最後にアップルに結び付けるんだね。

    • by Anonymous Coward on 2012年08月08日 0時09分 (#2208132)

      今回は、客観的に見れる人が早い段階でコメント残してくれたお陰で荒れなくて済みそうだよ。

      親コメント
      • by Anonymous Coward

        タレコミが結構詳細だったのが大きいんじゃないかな?
        妙に情報少なめで「元記事を読め」的なリンクと
        主観的で煽るような文章のタレコミが最近多いので。

        元記事の訳までしてあって、冷静だと思う。
        ギズの記事より遙かに情報量が多くて良い記事している。
        タレコミ分の段階での調査と冷静な記事。
        良い仕事している。

        このタレコミだとタレコミを流し読みしただけで、
        無理矢理アップルの責任だけに結びつける人は、もはやごく少数派だろう。

    • by Anonymous Coward

      過失云々はともかく、クラウドにバックアップしてあったはずなのに、クラウドの側から登録
      抹消されて、PCやiPadなんかに入ってる全てのデータも含めて全消去されたというのは、
      けっこう大事件だと思う。

      本人も子供の写真とか、かけがえのない思い出の写真が全部消えてショックだったらしい。
      #この人のAppleのiCloudへの依存度が大きかったからこそ、失われた時のショックも大きい。

      トラブルの性質は全く違うけど、データが消えて回復不能という点においては
      ファーストサーバー事件を彷彿とさせる事件だった。

  • 米アップルの元共同創業者 スティーブ・ウォズニアック(Steve Wozniak)氏(61)が
    今後数年以内に「悲惨な問題」が起きるだろうと発言した。
    http://www.afpbb.com/article/environment-science-it/it/2893702/9333834... [afpbb.com]
    非クラウド系サーバーはこれから先細りなんだろうか?

    • by Anonymous Coward

      ウォズニアック氏のほっぺとあごは
      5年でもっと広がってしまうだろうか?

  • by Anonymous Coward on 2012年08月08日 12時30分 (#2208453)

    社会的セキュリティホールは潰せばよい。
    密林も林檎もだ。

  • by Anonymous Coward on 2012年08月08日 18時23分 (#2208634)

    iPhone4で締め出されて以来、わざと悪意に満ちた記事を書くよな。

    • by firewheel (31280) on 2012年08月08日 22時09分 (#2208738)

      原文通して読んでみたけど、Appleに対する悪意があるような記事ではなかったよ。
      本心かどうかはともかく、記事だけだと徹頭徹尾「全部私が悪かった」的な書き方になってる。

      セキュリティ問題についても、どちらかというとAmazon側の方が大きいことを指摘してるし、
      「Gmailの二段階認証使えば防げたのに」とか芋づる式に辿れるようなE-mailアドレスにすべきではなかったとか、
      自分の落ち度についても事細かに説明してる。

      親コメント
typodupeerror

あと、僕は馬鹿なことをするのは嫌いですよ (わざとやるとき以外は)。-- Larry Wall

読み込み中...