元Gizmodoライターのマット・ホナン氏のiCloudアカウントにハッカーが侵入し、MacBook Air、iPhone、iPadのデータを遠隔消去できたという、セキュリティ上の重大な不備について、皆さんもご存知でしょう。Amazonがユーザーのクレジットカード番号の下4桁をウェブ上で公開していたため、ホナン氏は簡単にハッキングされてしまいました。これは、Appleのカスタマーサポート担当者が電話でApple IDのパスワードをリセットする際に(氏名と請求先住所に加えて)必要な情報と全く同じです。
セキュリティ侵害を受け、Amazonはこの種のソーシャルエンジニアリングの防止策を強化しました。同社は月曜日、名前、メールアドレス、住所だけで誰でも電話でAmazonアカウントにアクセスできる可能性のあるプライバシーホールを塞ぎました。
Amazonはまた、電話でのアカウントへの新規クレジットカード登録を今後行わないと約束しました。Appleは本日、サポートスタッフに通知を送り、電話でのApple IDパスワードリセットを一時的に停止したと報じられています…
WiredはAppleの新しいポリシーをテストするため、Appleサポートに電話をかけ、iCloudアカウントのパスワードをリセットしようと試みました。しかし、AppleサポートはWiredの要求に応じませんでした。
著者のネイサン・オリバレス・ジャイルズ氏とマット・ホナン氏(ハッキングの被害者)は次のように説明しています。
Appleの情報源からの情報は、Appleのカスタマーサービス担当者によって裏付けられました。担当者は、Appleが電話によるAppleIDのパスワードリセットをすべて停止していると語りました。AppleCareの担当者がこの詳細を明かしたのは、WiredがHonan氏のハッカーによるAppleシステムの悪用を2日目に再現しようとしていた時でした。
試みは失敗し、担当者は、システム全体の「メンテナンスアップデート」を実施しているため、電話でのパスワードリセットはできないと説明しました。担当者は24時間後に再度電話をかけるよう指示し、代わりにiforgot.apple.comにアクセスして、ウェブ上でAppleIDのパスワードを自分で変更するように指示しました。
「現在、当社のシステムではパスワードのリセットができません」とAppleの担当者はWiredに語った。「理由は分かりません。」
ほんの数日前、Appleサポートは記者に対し、問題のAppleIDにリンクされたデバイスのシリアル番号を提供できれば、電話でパスワードをリセットできると伝えていた。
ジャーナリストのマット・ホナン氏は、自身の恐ろしい個人情報盗難体験を詳しく語り、自身のセキュリティとプライバシーの不注意により、ハッカーが彼のデジタルライフ全体を簡単に侵害してしまったと告白した。
これは恐ろしいほどの罪の告白であり、私たち全員がこのことから学べることが1つあるとすれば、それは彼がGoogleアカウントで2段階認証を有効にしていれば、このようなことは起こらなかっただろうということだ。このGoogleアカウントは、彼の3文字のTwitterハンドル(これが攻撃の主な標的だった)にデイジーチェーン接続されていた。
第一のルールは、同じメールアドレスで複数のソーシャルアカウントを連鎖させないことです。FacebookやTwitterなどの主要なサービスには、それぞれ異なるメールアドレスを使いましょう。
さらに、Gmail、Apple ID、Microsoft、Yahoo!の各アカウントにはそれぞれ異なる復旧用メールアドレスを使用してください。こうすることで、たとえ誰かがあなたのメインのメールアカウントの一つに侵入したとしても、全てのソーシャルメディアアカウントのパスワードをリセットして大混乱を引き起こすことはできません。
最も重要なのは、Google アカウントで 2 段階認証を有効にし、2 段階認証をまだサポートしていないアプリやサービス (iPhone または iPad のメール アプリや Gmail アプリ、Gtalk クライアント、Google 連絡先にアクセスするアプリなど) に対してアプリケーション固有のパスワードを作成することを忘れないでください。
昨日の不幸な出来事についてのホナンさんの記事を読んで、私はすぐに自分の Google アカウントに 2 段階認証を設定するという手間をかけました。
Google の検索品質チームの従業員 Matt Cutts と彼のブログ投稿により、その決定は簡単なものとなりました。
[チューブ]zMabEyrtPRg[/チューブ]
2 段階認証では、Google アカウントのパスワードと、クラウドで生成され、テキスト メッセージやボイスメールとして携帯電話に送信される特別なコード、または Android および iOS 向けの Google 認証システム アプリから利用できる特別なコードの両方を要求することで、アカウントを保護します。
カッツ氏はこの機会を利用して、2段階認証に関するいくつかの誤解を払拭した。
誤解その1:携帯電話にSMSや電波がない場合はどうすればいいですか?あるいは海外にいる場合はどうでしょうか?
真実:Google Authenticatorというスタンドアロンアプリ(App Storeでも入手可能)をインストールすれば、携帯電話に電波は必要ありません。誤解その2:でも、携帯電話の電池が切れたり、盗まれたりしたらどうなるの?
現実:10個のワンタイムレスキューコードを印刷した小さな紙を財布に入れておけば、携帯電話がなくてもワンタイムコードを使ってログインできます。誤解その3: ログインするたびに追加の PIN を入力しないといけないのではないですか?
真実: Google にコンピュータを 30 日間、場合によってはそれ以上信頼するように指示できます。誤解その4:二要素認証はPOPとIMAPでは機能しないって聞いたけど
本当? POPとIMAPでも二要素認証は使えます。メールクライアントで通常のパスワードの代わりに使用できる特別な「アプリケーション固有のパスワード」を作成します。アプリケーション固有のパスワードはいつでも無効にできます。
残念なことに、私は以前それをやることを検討するのが面倒でした。
二段階認証を有効にすることを強くお勧めします。これは、ハッカーの攻撃をはるかに困難にしながら、自分自身を守るためにできる、そしてすべき最低限のことです。
信じてください、あなたはホナンが経験したような個人情報盗難を経験したくないはずです。
しかし、私の言葉を鵜呑みにせず、Wired でホナンの怖い話を読んでみてください。
今すぐやろう!
