金曜日、脆弱なパスワードを持つiCloudおよびApple IDアカウントに対して、総当たり辞書攻撃を仕掛ける新たな攻撃ツールがGitHubに投稿されました。「iDict」ツールは、500語以上の辞書リストを用いて、正規のiPhoneデバイスを装い、iCloud.comへのログインを試みます。そして、Apple IDのロックアウト制限を回避します。
複雑なパスワードを使っている人は心配する必要はありませんが、ペットの名前など、よく使われる単語を使った単純なパスワードを使っている人は危険にさらされます。もしあなたがそのカテゴリーに当てはまるなら、パスワードを変更し、必要に応じてApple IDの2段階認証を有効にすることを強くお勧めします。
'iDict' とは関係ないようです。今朝、写真ウェブ アプリが iCloud ウェブサイトから不思議なことに消えてしまいました。
セレブリティ写真ハッキング事件を受け、AppleはiCloudのセキュリティを強化しました。この変更の一環として、パスワード入力に5回失敗するとApple IDがロックされるようになりました。
「iDict」の考案者、Pr0x13として知られるハッカーが、自分のツールが実際にAppleのアカウントロックアウト制限と、あらゆるApple IDやiCloudアカウントの二次認証を回避できると主張していることが心配だ。
「このバグは非常に明白で、悪意のある活動や不正行為に個人的に利用されるのは時間の問題でした
。私はこれを公表したので、Apple はパッチを当てるでしょう」とリリースノートには記されている。
RedditユーザーやTwitterユーザーによると、このツールは宣伝どおりに動作するとのこと。
Appleが、何度もログインに失敗してもアカウントをロックせずに、このようなログイン試行を今日まで許可してきたことには驚きです。このセキュリティホールが早急に修正されることを願っています。
9to5Mac の Benjamin Mayo 氏が指摘したように、この脅威は現実のものであり、簡単に無視すべきではない。なぜなら、意志の強いハッカーは GitHub に掲載されているものよりはるかに長い単語リストを使用するからだ。
以前お伝えした通り、写真ウェブアプリ(上記画像)が今朝、www.iCloud.com と beta.iCloud.com の両方のウェブサイトから消えてしまいました。この削除が恒久的なものなのか一時的なものなのか、あるいは「iDict」ツールのリリースとの関連性が全くの偶然なのかは、記事投稿時点では判断できませんでした。
iCloud.com に写真が再び表示されたら、投稿を更新します。
このウェブアプリは、デバイス間で写真を管理・同期するためのAppleの新しいソリューションであるiCloudフォトライブラリの一部です。現在ベータ版のiCloudフォトライブラリは、iOS 8デバイスの「設定」>「iCloud」>「写真」で有効にできます。
Apple は、この新しい写真管理ソリューションの一環として、Aperture と iPhoto の開発を縮小し、2015 年初頭にリリース予定の Mac 向け写真アプリに注力することを確認した。
「iDict」に関しては、Apple ID をハッキングから保護する最も簡単な方法は、Apple が誇る 2 段階認証という形で追加のセキュリティ層を有効にすることです。
2 段階認証を有効にすると、My Apple ID にサインインしてアカウントを管理したり、新しいデバイスまたは iCloud.com で iCloud にサインインしたり、新しいデバイスから iTunes、iBooks、または App Store で購入したり、Apple から Apple ID 関連のサポートを受けたりするときに、信頼できるデバイスにプッシュされたコードが必要になります。
2 段階認証を有効にした後に生成される 14 文字の回復キーを安全な場所に必ず保管してください。ブルート フォース攻撃によって一時的にロックアウトされた場合にアカウントの制御を取り戻すには、このキーが必要になります。
繰り返しになりますが、リカバリキーを紛失すると、Apple ID へのアクセスが完全に失われることになり、リカバリキーがないと Apple はアクセスの回復を支援できません。
最後に、「iDict」にはApple IDのメールアドレスが必要なので、オンラインで共有されていないプライベートのメールアドレスを使用してアカウントのセキュリティを強化することもできます。
[GitHub、iCloud]
