Appleにとって悪いニュースが続いている。木曜日にThe Daily Dotに掲載された暴露によると、ロンドンを拠点とするコンピューターセキュリティ専門家のイブラヒム・バリック氏がiCloudで発見した脆弱性についてAppleに警告したが、Appleは問題の重大性を軽視し、6か月間放置していたという。
ご存知のとおり、Apple ID のパスワードが弱い有名人数名のヌード写真が乗っ取られ、ウェブ上に投稿された後、この問題は大々的に報道され、深夜番組の話題になった。
バリック氏は3月に、特定のiCloudアカウントに対して約2万件のパスワードを不正に利用できたとAppleに警告したと報じられています。彼の警告は、Appleのセキュリティ担当エンジニアの耳に届かなかったか、少なくとも彼のメールが社内の上層部にエスカレーションされて優先事項とされることはなかったようです。
「ご提供いただいた情報から判断すると、アカウントの有効な認証トークンを見つけるのに非常に長い時間がかかると思われます」と、AppleのエンジニアがBalic氏に返信しました。「比較的短時間でアカウントにアクセスする方法をお持ちだとお考えですか?」
Appleとのやり取りのコピーを提供したバリック氏は、iPhoneメーカーがこれまでにiCloudの脆弱性に対処したかどうか確信が持てないと述べた。バリック氏が発見したiCloudの脆弱性が、著名人のApple IDに対して行われたブルートフォース攻撃と関連しているかどうかは、実際には不明だ。
ヌード写真を流出させたハッカーは、iBruteツールを使用して「iPhoneを探す」サービスにブルートフォース攻撃を仕掛けたと考えられている。当時、このサービスでは、パスワードの推測に何度も失敗してもユーザーがロックアウトされることはなかった(その後、Appleはこの明らかな見落としを修正した)。
アップル自身も声明の中で、今回の情報漏洩は被害者のApple IDのパスワードが脆弱だったことと、アカウントを2段階認証で保護していなかったことを利用した「標的型攻撃」の結果だと述べた。
クパチーノの企業は最近、スキャンダルの余波を受けて、iCloud アカウントの保護を強化するために 2 段階認証の使用を拡大しました。
オプトイン機能により、Web 上の Apple ID アカウントや iCloud.com にログインするたび、または同じ Apple ID/iCloud アカウントで認証された新しいデバイスを使用するたびに、テキストメッセージで送信されるかデバイスにプッシュされる 4 桁のコードを入力するよう要求され、セキュリティが強化されます。
弊社の便利なチュートリアルに従って、Apple ID の 2 段階認証を有効にすることを強くお勧めします。
[デイリードット]
