今日現在、辞書ベースの攻撃によって元恋人の Apple ID または iCloud アカウントに侵入することは、もはや実行可能な選択肢ではありません。
Business Insiderのジェームズ・クック氏の報道によると、Appleは、ハッカーがApple IDアカウントをハッキングするために悪用できることが判明したiCloudサービスの脆弱性を修正したとのことだ。
脆弱なパスワードを使用し、Apple 自慢の 2 段階認証機能を使用していない Apple ID が最も危険にさらされていたとはいえ、Apple がユーザーのオンライン セキュリティを強化するために迅速に行動したことは間違いなく喜ばしいことです。
この情報は、元旦に公開された「iDict」と呼ばれるハッキングツールを作成したPr0x13氏本人から得たものだ。
簡単に言うと、この脆弱性は、Apple のアカウント ロックアウト制限と、あらゆる Apple ID または iCloud アカウントの二次認証を回避することに成功しました。
iDict はパッチ適用済みです。アカウントをロックしたくない場合は使用を中止してください #TheMoreYouKnow
— ! ★ (@pr0x13) 2015年1月2日
Appleが最近、パスワード入力に5回失敗するとApple IDをロックするなど、iCloudのセキュリティを強化したことを覚えている方もいるかもしれません。しかし、「iDict」ツールは、その短い歴史の中では、別の手法を使ってAppleのサーバーを欺き、実在の人物がiCloudにログインしようとしていると誤認させていました。
簡単に言えば、iDictは正規のiPhoneデバイスを装い、iCloud.comにログインしようとしました。このオンラインサービスは、500語以上のよく使われる単語を含む辞書リストを悪用し、脆弱なパスワードを持つアカウントに対してブルートフォース攻撃を仕掛けました。しかし、GitHubに投稿されたものよりもはるかに大規模な単語リストを悪用する意図を持ったハッカーを阻止することはできませんでした。
だからといって、私たち全員が安堵のため息をつくべきではない。ハッカーは常に脆弱性を探しており、Apple のオンライン サービスは、この種のブルート フォース攻撃を阻止できないまでも、阻止できるほど完全には統合されていないからだ。
考慮すべきもう 1 つの点は、iDict などのツールを使用する悪意のある人物が、セキュリティ上の理由から、ハッカーがアクセスできないように iCloud アカウントをロックする可能性があることです。
ここでも同じ注意事項が適用されます。パスワードには、ペットの名前などの一般的な用語や、ソーシャル エンジニアリングによって収集される可能性のあるその他の簡単に識別できる単語を含めないでください。
さらに、Apple ID の 2 段階認証を有効にし、Apple ID ユーザー名として使い捨てのメール アドレス、またはオンラインで共有されていないプライベート メール アドレスを使用することをお勧めします。
また、2 段階認証で Apple ID を保護している場合は、回復キーを安全な場所に保管してください。回復キーを紛失すると、パスワードの総当たり攻撃によって Apple ID がロックされた場合に、Apple ID に永久にアクセスできなくなるためです。
[ビジネスインサイダー]
