パスワードを忘れた? アカウント作成
10125115 story
アップル

「Apple ID パスワードの再設定方法。」といった件名のメールが一部のユーザーに繰り返し届く 41

ストーリー by headless
攻撃 部門より
Appleユーザーの一部に、「Apple ID パスワードの再設定方法。」「Apple ID が再設定されました。」といった件名のメールが繰り返し届き、話題となっているようだ(AppleサポートコミュニティーのスレッドITproの記事毎日jpの記事)。

メールの内容は実際にApple IDのパスワード再設定時に送られてくるものと同一で、宛名や本文の冒頭には受信者の名前が漢字で正確に記入されているという。メールの真偽は不明だが、ITproの記事によると、他サイトから流出したメールアドレスとパスワードを使用したApple IDへの不正アクセスが試みられている可能性が高いとのこと。ただし、登録していないメールアドレスに届いたという報告や、リンク先がフィッシングサイトだとする報道もあるため、同様のメールが届いた場合は注意が必要だ。一方、海外ではOS X Mavericksをダウンロードしたユーザー宛にApple IDに関するフィッシングメールが届いている模様。こちらはユーザーの名前が記載されておらず、本文の冒頭は「Dear Customer,」となっているとのことだ(Macworldの記事)。

UZU 曰く、

うちには22日から、上記のタイトルでメールが何回か届いている。
Appleサポートコミュニティーのスレッドからリンクされたブログによると、調査したメールはリンク先や送信元はAppleのもので間違いなかったようだが、こっそり違うリンクが混じってたりすると怖いな。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • Don't think, Feel! (スコア:5, おもしろおかしい)

    by h-harry (24932) on 2013年10月26日 12時38分 (#2484530) 日記

    受信者の名前が感じで正確に記入されている

    さすがAppleだ!!

  • by Anonymous Coward on 2013年10月26日 13時26分 (#2484551)

    Apple IDのパスワードの入力ミスを何回かすると、パスワードを
    忘れたのだろうと見なされ、Appleから「Apple ID パスワードの再設定方法。」
    というメールが送られてくる。

    Apple IDはメールアドレスなので、第三者がメールアドレスと
    でたらめなパスワードを何度も入力して不正アクセスを試みた場合も
    再設定のメールが送られてくる事になる。

    よって再設定のメールはAppleからの本物なのだが
    今回はそれに似せたフィッシングメールもあるのね。
    フィッシングが本来の目的なのかな。

    • by Anonymous Coward

      え、そんな話聞いたことないけど、何回ミスすると送られてくるんですか?

      ついでに、どのへんに載っていた情報なのかもお願いします。

      #一定回数パスワードを間違えるとアカウントが停止されるのは公式のサポート [apple.com]に載ってる。

      • by Anonymous Coward

        先日、iOS7.0.3でそれやりました。
        三回くらい失敗して、パスワードを忘れたことにすると、二つの質問かパスワードの
        再設定を選べと言われます。ただし、強制的にメールでの再発行ではなかったかと。

        この話には後日談があって、メアドあてにメールを送るように選んだら、4日ほど
        たった今だにメールが来ない。ちなみにどうしたかというと、apple側がパスワードが
        違うと勝手に主張してただけで、私が記憶違いをしてたわけではないという。

        何が起きてるんだ?お布施が少なすぎたか?

        • by Anonymous Coward

          パスワード再設定のメールを送るリンクが2種類あるみたいですよ。
          で、登録名を入力しなくてもよいほうは機能していない(メールを送信したと表示されても送信されていない)っぽい。
          そっちのリンクを使ったんじゃないでしょうか。

          ところで「apple側がパスワードが違うと勝手に主張してただけ」ってなんです?
          電源入れなおした後にはログインできたとかなら、よくある「CapsLockに気がつかなかった」ってやつじゃないのかな・・・・

          • by Anonymous Coward

            >電源入れなおした後にはログインできたとかなら、よくある「CapsLockに気がつかなかった」ってやつじゃないのかな・・・・

            たぶんパスワードの入力時の問題じゃない、と考えてるのは、
            二度パスワードを間違えたときは、状況が許すならテキストエディタでパスワードを書いてコピペする習慣にしていて、
            このときも同じ手を使ったから。

            無論、ここでミスがおきなかったと、何が何でも言いはるつもりはないですが。でもねぇ。

            >登録名を入力しなくてもよいほうは機能していない(メールを送信したと表示されても送信されていない)っぽい。
            こちらかもしれないですね。まあ、機能してないものを解決ルートとして提示してくるのなら、別に考えてほしい面があるのですが。

    • パスワードリセットを装ったフィッシングとか多いんだから、電子署名をすればいいのにと思ったんですけど、 セキュリティ界隈ではあんまり意味のないことなんですかね。 それともDKIM使ってるから問題なし!なのかな
      • by Anonymous Coward

        どーせマカーなんてお仕着せメーラー使ってる奴らばかりなんだし、あるいはThunderbirdか、iOSならなおさら、
        本文に電子署名つけてやるだけで大分変わるだろうにねえ。

  • by Anonymous Coward on 2013年10月26日 13時58分 (#2484563)

    Apple IDの削除をAppleに依頼したら、かなりグダグダのあとに
    ようやく削除してくれたっぽいと思ったんですが、
    実は削除したのではなく、パスワードが適当な文字列に変えられてるだけでした。

    アカウントが消えてることを念のため確認をしようと失敗前提でのログイン試行をしてみたら
    「パスワードが違う」と言われるんで
    おかしいな?と思ってパスワードリカバリの手続きしてみたら
    パスワードリカバリできてログインもできちゃったという。

    削除してないじゃん、つーかこの運用って
    今の個人情報保護法その他に照らし合わせて大丈夫なんだろうか?

    少なくともAppleってそういう企業です。夢や妄想ではなくそれが現実です。

    • by Anonymous Coward on 2013年10月26日 15時39分 (#2484589)

      全くもって同意する
      数年前にApple ID登録してからそれまで順調だった人生が狂い始めた
      Appleに苦情を言ってもテンプレメールであしらわれるし散々だわ

      #サムスンさんお金ください

      親コメント
      • by Anonymous Coward

        脱Appleしろよ。
        QTもいらなくなって、日常が帰ってくるぞ。

    • by Anonymous Coward on 2013年10月26日 20時54分 (#2484743)

      AppleIDを削除しても、同じメールアドレスで新しい登録に使えなくなると書いてありますよね。
      これはアカウント削除してもメールアドレスは保存していることを意味しているので、
      法律がメールアドレスの削除も要請しているなら、違反していることになるでしょうね。

      いまAppleIDの削除を依頼しているのですが、依頼開始してから3週間経っているのに
      いまだ削除が終わりません。削除方法を問い合わせて教えてもらうのに2週間、
      その方法で依頼してから1週間経過して、返事無し。2度目の依頼だして返事待ち。
      いままでで最悪に近い対応です。
      登録しちゃった人は削除はできないと覚悟した方がいいですよ。

      親コメント
      • by Anonymous Coward on 2013年10月27日 0時00分 (#2484791)

        > これはアカウント削除してもメールアドレスは保存していることを意味しているので、
        > 法律がメールアドレスの削除も要請しているなら、違反していることになるでしょうね。

        違います。
        メールアドレスどころか、住所氏名などすべて残ったままです。
        これは削除してもらったはずのアカウントがパスワードリカバリできてしまい、
        その中の個人情報もすべて残ったままだった実経験からです。

        本当に、
        「パスワードをテキトーに変えといたからログインできなくなったろ、じゃあ終わり」
        という正気を疑う対応しかしてくれません。

        ちなみに、Apple IDの削除は本当に大変です。
        公式サイトのフォームから送っても何度も無視され、
        何度も繰り返ししてるのに無視するなと警告すると仕方なく対応開始しますが
        本当にやる気も何もなく、数か月以上かかります(かかりました)。

        親コメント
        • by Anonymous Coward

          本気で削除するなら弁護士か行政書士に入ってもらった方が良かったりするのだろうか

          • by Anonymous Coward

            Googleがそうであるように、辺境の島国でギャーギャー騒いで現地の裁判所に訴え出ても無視されて終わりでしょうな。

            • by Anonymous Coward

              > Googleがそうであるように、辺境の島国でギャーギャー騒いで現地の裁判所に訴え出ても無視されて終わりでしょうな

              なぜGoogleが突然出てくるんですか?

              今回の件は、日本国家の法律に反している可能性があるという点で
              しっかり検証して反しているなら適切に処罰されるべき問題です。

              ここでは、行政が出している個人情報保護指針があり
              それを満たしているか否かで「デジタルで」判断されます。
              そのうえ、個人情報保護法は刑事罰があります。
              Googleのサジェスト内容で損害があったかどうかなどのレベルとは次元が違いますよ。

              ここで、日本国家の法律をAppleが無視するなら、Appleはまさに反社会的組織ということになりますね。

        • by Anonymous Coward

          #2484743です
          私も同様に全部情報残ったままだと推測しています。
          ただ少なくともメールアドレスについては情報を残してないと不可能な対応していることを
          Appleが公式に表明しているので、そのことを書いておきたくて書きました。
          プロバイダでもらえるアカウントでは、アドレスが再利用されることもあるので
          このAppleのやり方は大変危険と思います。

          ID削除を依頼中ですが、絶賛無視され中です。
          住所等は変更するとApple内でも上書きして消えてくれることを願っていろいろ変更して放置という形になりそうです。

        • by Anonymous Coward

          ログインして、個人情報をデタラメな物に設定。
          メールアドレスを捨てメールアドレスに設定し、
          最後に適当な乱数パスワードを設定して、サイナラ

          あなた自身も二度とログインできなくなりますが、これで十分じゃ無いかな?

    • by Anonymous Coward

      日本の個人情報保護法は適用されません。

      • それって、どこの法律? 外国人旅行者が日本で犯罪を犯しても、犯罪に問えないといっているようなものだが。

        それ以降、日本への入国や活動を諦めて、海外逃亡されると、できることに限界があるのは事実だが、それは別の話。

        親コメント
      • by Anonymous Coward

        消費者庁の公式見解で、国内に拠点があるなら外国企業でも個人情報保護法の対象と明記されてます。
        appleジャパンがある時点で対象なのは間違いないでしょう。

        • by Anonymous Coward
          よしApple Japanはただの倉庫ということにしよう
          # 実際ただの倉庫以上のことはしてないでしょ
          • by Anonymous Coward

            わざわざ法人として申請し、法人格を持たせてる時点でそれは通りません。
            仮に倉庫としてしか機能していなくてもです。

        • by Anonymous Coward

          それを米国の本社に実行させる強制力がない時点で無意味
          一方的に主張するだけなら竹島も北方領土も我が国固有の領土というのと同じこと

          • by Anonymous Coward

            >それを米国の本社に実行させる強制力がない時点で無意味
            >一方的に主張するだけなら竹島も北方領土も我が国固有の領土というのと同じこと

            意味不明。
            法を執行するのは国であってAppleでもAppleジャパンでもないですよ。
            日本国家がAppleを排除すればいいだけです。

            ※ Apple IDの運用に関しては、本当に大問題だと思います。

            そこでAppleジャパンを持ち出して
            「力がないから違法状態でも仕方ない」ような論調は正気の沙汰ではありません。
            本当の意味で反社会的思考ですよ。

  • by Anonymous Coward on 2013年10月26日 13時23分 (#2484550)

    以前、俺のメールアドレス(フリーメール)にニューヨーク在住の人のitunesの購入履歴が届きだした。
    その人が勝手に俺のメアドで登録したらしい。

    やろうと思えばアカウント乗っ取りもできそうで、厄介ごとに巻き込まれたくなかったので
    アップルに苦情を言ったら、「あなたがメールアドレス変えれば?」というまさかの回答。
    自分が受信できないアドレスが登録可能なのはどうかと思った。
    再び苦情を言ったらそのアカウントを停止してくれたけど。
    今はどうなのか知らないけど、あまりセキュリティを考慮していないという印象をその時から持っています。

    • by Anonymous Coward on 2013年10月26日 20時16分 (#2484725)

      似たような事があったな。
      他人が俺のメールアドレスでAppleIDに登録しようとして計4通の"ご連絡先メールアドレスをご確認ください"が来た。
      その後にiTunesからもメール来てて、いよいよこれは変だと思って自分のメールアドレスでパスワード再設定かけたら、住所のフォームに日本国内の別人の住所が。
      さすがにヤバイだろと思って削除依頼だしたら、自分で削除しろとか言われた。
      Webで削除しようとしたら空欄はダメですと言われたが、繰り返してたらなぜか空欄にできる謎なシステムだった。
      結局Apple本社の住所にしてAppleIDのメールアドレスをサポートのアドレスにして、2度と関わりたくないと心に誓った。

      親コメント
    • by Anonymous Coward on 2013年10月26日 14時06分 (#2484565)

      住所がイギリスのどこかに改ざんされてた事がありました。
      クレカを入れてなかったためか、買い物の被害はなかったけど。
      どっかの窓口にメールしたら「ここは担当部署じゃない(案内もなし)」みたいなロックな返事が帰ってきたので
      iPodを捨てて管理もfoobar2000にスイッチしたよ。2年くらい前かなぁ

      親コメント
    • by Anonymous Coward

      確かに当てになんないすねー
      二段階認証マダァ-? (・∀・ )っ/凵⌒☆チンチン

      あらゆる個人情報をハッキングされたWIRED記者が考えるセキュリティ問題
      http://wired.jp/2012/08/14/amazon-apple-security-hacked/ [wired.jp]

    • by Anonymous Coward

      それなんて楽天メソッド

      本人(つーかメールアドレス)確認前に、発注できてしまう、注文内容やら住所やら入ったメールが他人に送られる。

      • by Anonymous Coward

        そういや昔はAppleIDからのメールを停止できなくて、楽天みたいだった。

  • by Anonymous Coward on 2013年10月26日 16時58分 (#2484632)

    最初届いたときは誰かがログインを試みてるのかと不安だったからすぐパスワード変更した。
    それからも二回届いたけど無視してる。

    パスワードを忘れてしまった場合の手続きを誰かがしているのかな。

    • by Anonymous Coward

      3通届きました。
      しかも件の様に登録していない携帯アドレスにフルネームで。

  • by Anonymous Coward on 2013年10月26日 18時44分 (#2484695)

    今回の手口はなんだかずさんな感じがします。
    リストアタックの全てのメールアドレスにパスワードリセットを行ってるんじゃないですかねぇ?
    (恐らくスクリプトでしょうけど。)
    パスワードリセットを行ってもメールアカウントを先に乗っ取っておかないと、Apple IDは乗っ取れないですよね。
    リセット用のメールの送信先も別デバイスのアドレスにもできますし。

    #私の所は22日から3日で5回きましたが、全て放置。で、現在は治まっています。

    • by Anonymous Coward

      > パスワードリセットを行ってもメールアカウントを先に乗っ取っておかないと、Apple IDは乗っ取れないですよね。

      パスワードも忘れたうえで、登録しているメアドはすでに古いもので、
      新しいメアドの登録をしなおしていなかった、
      という場合もありますので、
      悪意あるものからすれば
      パスワードリセットをしたのち、さらにメールが届かないから、という流れでの乗っ取りルートもあります。

      その先として、Apple IDの「パスワードも忘れ、メアドも変えちゃってる」場合のルートは
      以前は脆弱すぎてそれはそれで話題に上がりましたが、
      今はどうなってるんでしょうね。

      他サイトで「メール

    • by Anonymous Coward

      うちの奴には購入されたゲームとそれが何時もと異なるPCからという確認で来ましたから、別のパターンもあるかも。

typodupeerror

皆さんもソースを読むときに、行と行の間を読むような気持ちで見てほしい -- あるハッカー

読み込み中...