重大なセキュリティホールによりApple IDが侵害される可能性があります。今すぐ2段階認証を有効にしてください。

The Vergeは、攻撃者がメールアドレスと生年月日だけでApple IDのパスワードをリセットできる重大なセキュリティホールを発見したと主張しています。はい、その通りです。恐ろしいのは、Googleやソーシャルメディアアカウント、あるいはオンラインIDそのものを分析することで、この2つの情報を収集するのに天才は必要ないということです。

この脆弱性を悪用すると、基本的に攻撃者はユーザーの Apple ID アカウントを乗っ取り、それによってすべての購入、iTunes クレジット、電子メール メッセージ、連絡先、フォト ストリーム、および Apple クラウドに保存されているほぼすべての個人データを盗むことができます。

AppleのiForgotページは、事件直後に「メンテナンスのため」閉鎖されました。これは、Appleがセキュリティホールを塞ぐまでの間、悪用を防ぐためと思われます。都合の良いことに、Appleはつい最近、パスワードだけでなく、信頼できるデバイスと復旧キーを使ってApple IDを保護する、新しい（そしてかなり待望されていた）2段階認証プロセスを導入しました。

この脆弱性が話題になっているため、今すぐ 2 段階認証を有効にする必要があります (Cody がタイムリーなチュートリアルを公開しています)...

The Verge が詳細を報じている。

このエクスプロイトは、AppleのiForgotページで生年月日を尋ねるセキュリティ質問に答える際に、改変したURLを貼り付けるというものです。これはほぼ誰でも実行できる方法で、The Vergeはこの明白なセキュリティホールを実際に確認しました。

もちろん、The Verge も iDB もセキュリティ上の懸念から問題の Web サイトへのリンクは貼りません。

誰かがあなたの Apple ID を乗っ取って個人情報を盗むのを防ぐには、Cody の簡単な 6 ステップのチュートリアルに従って、今すぐアカウントの 2 段階認証を有効にする必要があります。

2 段階認証を有効にすると、Apple が信頼されたデバイスに送信するコードや回復キーも必要になるため、パスワード リセットの穴を悪用してアカウントを乗っ取ることはできません。

重要: Apple ID のパスワードまたはセキュリティの質問を最近変更した場合、Apple は誰かがすでにアカウントを乗っ取っていないことを確認するため、2 段階認証を有効にする前に 3 日間待つ必要があります。

Apple には、2 段階認証に関してユーザーが抱くであろう疑問をすべて詳しく説明した優れた FAQ もありますので、ぜひ時間をかけてじっくりと読んでみてください。

以下に、留意すべき点をいくつか挙げます。

信頼できるデバイスを追加する前に、まずApple ExpressLaneサービスにサインインして、お持ちのiPhone、iPad、またはiPod touchを登録してください。左側の「製品」セクションをクリックし、ページ下部の「製品の管理」リンクをクリックしてください。

2ファクタ認証プロセス中に、各デバイスに標準通知として送信される4桁のコードを入力し、信頼できるデバイスをそれぞれ認証します。これらのコードを受信するには、信頼できるデバイスごとに「設定」>「iCloud」で「iPhoneを探す」サービスが有効になっている必要があります。

Apple は、米国、英国、オーストラリア、アイルランド、ニュージーランドの任意の携帯電話番号にテキストメッセージでコードを送信することもできます (今後、他の国も追加される予定です)。

プロセスが正常に完了すると、既存のアカウント パスワードに加えて、信頼できるデバイスに送信されたコードと回復キー (書き留めて安全な場所に保管してください) を使用して、Apple ID のセキュリティが強化されます。

Apple は、アプリをダウンロードするたびに回復キーやコードを必要としません。2 段階認証は、Web 上で Apple ID アカウントにログインして変更を加えたり、パスワードを変更またはリセットしたり、iTunes で購入するために新しいデバイスを承認したりする場合にのみ使用されます。

Apple は、Apple ID のパスワードを覚えておくこと、信頼できるデバイスを物理的に安全に保つこと (ExpressLane を使用して販売するデバイスの登録を解除することを忘れないでください)、回復キーを安全な場所に保管することは完全にユーザーの責任であることを強調しています。

2 段階認証を有効にすると、Apple サポートはお客様に代わってパスワードをリセットしたり、これら 3 つを更新または回復したりすることができなくなります。

最も重要なのは、これら 3 つの項目のうち 2 つに同時にアクセスできなくなると、Apple ID アカウントから永久にロックアウトされる可能性があり、Apple では何もできないということです。

警告は受けました。