私たちの生活のあらゆる情報をウェブにアップロードするにつれ、ハッキングされる危険性は増大しています。クレジットカード番号、自宅住所など、あらゆる情報が盗まれる可能性があります。だからこそ、多くのセキュリティ専門家は複雑なパスワードの使用を推奨しているのです。
しかし、強力なパスワードを使うだけでは十分ではないこともあります。元Gizmodoライターのマット・ホナンに聞いてみてください。今週末、ハッカーが彼のiCloudアカウントにアクセスし、Mac、iPhone、iPadのデータが消去されたことで、マットの世界は一変しました。しかも、Appleのおかげで…
Twitterでマット・ホナン氏やGizmodoをフォローしているなら、金曜の夜に起きた一連の騒動をご覧になったことでしょう。ハッカーたちは両方のアカウントにアクセスし、恐怖政治を開始しました。
ホナン氏は、事の経緯を次のように説明する。
午後4時50分、誰かが私のiCloudアカウントに侵入し、パスワードをリセットして、リセットの確認メッセージをゴミ箱に送ったのです。私のパスワードは7桁の英数字で、他では使っていませんでした。何年も前に設定した時は、かなり安全だと思っていました。でも、そうではありませんでした。特に、何年も使い続けていることを考えると、なおさらです。
Gmailアカウントのバックアップメールアドレスは、同じ.macメールアドレスです。午後4時52分に、.macアカウントにGmailのパスワード再設定メールが届きました。2分後、Googleアカウントのパスワードが変更されたことを知らせるメールが届きました。
午後5時、彼らは私のiPhoneをリモートワイプしました。午後5時1分、彼らは私のiPadをリモートワイプしました。午後5時4分、彼らは私のMacBook Airをリモートワイプしました。
その数分後、彼らは私のTwitterを乗っ取りました。というのも、随分前に私のTwitterをGizmodoのTwitterにリンクさせていたので、彼らはGizmodoにもアクセスできたのです。
マットはバックアップを取っていなかったため、1年以上分の写真、メール、書類を失ってしまったと語っています。痛っ。しかもAppleは、これらはすべて、本格的なフォレンジック調査を行わない限り復元不可能だと言っています。
一体どうやってこんなことが起きたのでしょうか?ブルートフォース攻撃?キーロガー?いいえ、Appleは事実上、マットのiCloudパスワードをハッカーに渡してしまったのです。
追記3:ハッカーの手口が分かりました。Appleのハッカーにも確認済みです。パスワードは関係ありませんでした。Appleのテクニカルサポートと巧妙なソーシャルエンジニアリングを駆使して侵入し、セキュリティ質問を回避したのです。
どうやら、Appleに自分があなただと確信させられれば、iCloudアカウントにほとんど手間をかけずにアクセスできるようです。確かに、マット・ホナン氏の生活は他の人たちよりも少しばかり公になっています(彼はWired誌でも働いていました)。しかし、今回の攻撃はAppleのセキュリティにおける非常に深刻な弱点を浮き彫りにしています。
実際、Appleがこの状況に関して、今後何らかの声明を出すことを期待しています。たとえ、このようなことが二度と起こらないと人々に安心してもらうためだけでも。iCloudに人生のすべてを保存している人もいるでしょう。そして、Appleがいつかワイヤレスモバイル決済の媒体になりたいのであれば、より安全だと感じられるものでなければなりません。
