今週末、マット・ホナンの iCloud アカウント (および他の多くのアカウント) が巧妙なハッカーに侵入されたというニュースを受けて、ホナンは元の投稿を更新し、ハッカーがどのようにして彼のアカウントにアクセスできたのかを詳しく説明しました。
ホナン氏は以前、ハッカーたちが何とかしてAppleのサポートを説得し、アカウントへのアクセスを許可する一時的なパスワードを発行させたと指摘していたが、ハッカーがアクセスできた方法は特に恐ろしいものだ。
ホナンのウェブサイトで、彼は彼のGmailアドレスを発見しました。Gmailのパスワード復旧ページを使用すると、@me.comアドレスの完全なユーザー名を解読するのに十分な情報が表示されました。次に、ウェブサイトのドメインのwhois情報から、ホナンの請求先住所が見つかりました。ハッカーはAmazonに連絡し、ホナンのアカウントに偽のクレジットカードを追加しました。次に、ハッカーは再びAmazonに連絡し、偽のクレジットカードを認証情報として新しいメールアドレスをアカウントに追加しました。新しいメールアドレスを使用して、ハッカーはパスワードのリセットを要求し、登録されているすべてのカードの下4桁のパスワードを確認できるようになりました。最後に、ハッカーはメールアドレス、請求先住所、クレジットカードの下4桁をAppleに伝え、Appleサポートにパスワードのリセットを依頼しました。
これは少し長い手順のように思えるかもしれませんが、配達員はそのような面倒な手続きを踏まずに同じことを実行できます。
どうやら、他人のiCloudアカウントにアクセスするのに必要なのは、メールアドレス、請求先住所、そしてアカウントに紐付けられたクレジットカード番号の下4桁だけらしい。そして残念なことに、これらはどちらも入手が難しいわけではない。 郵便物とレシートさえあれば、誰でもあなたのデジタルライフを乗っ取ることができるのだ! AppleはHonan氏に何度もこの事実を認めている。
Appleのテクニカルサポートは、週末に2回、Apple IDにアクセスするために必要なのは、関連付けられたメールアドレス、クレジットカード番号、請求先住所、そして登録済みのクレジットカード番号の下4桁だけだと確認してくれました。私はこの点をしっかりと説明しました。AppleCareへの2回目のテクニカルサポート電話でも、担当者は同じことを確認できました。「確認に必要なのは、本当にこれだけです」と彼は言いました。
どうやら、他人のiCloudアカウントにアクセスするのに必要なのは、メールアドレス、請求先住所、そしてアカウントに紐付けられたクレジットカードの下4桁だけらしい。そして残念なことに、これらはどちらも入手が難しいわけではない。郵便物とお店のレシートさえあれば、誰でもあなたのデジタルライフを乗っ取ることができるのだ!
月曜日、Wiredは別のアカウントでハッカーのアクセス手法を検証しようと試みました。 そして成功しました。 つまり、最終的に必要なのは、メールアドレスに加えて、簡単に入手できる2つの情報、つまり請求先住所と登録済みのクレジットカード番号の下4桁だけです。ハッカーがどのようにしてこれらの情報を入手したのか、以下にご紹介します。
Appleの広報担当者は、手続きが完全には遵守されていなかったと述べていますが、どの部分が遵守されなかったのかは不明です。また、ホーナン氏に対して、メールアドレス、郵送先住所、クレジットカード番号の下4桁のみで十分だと繰り返し伝えられていたという事実は、控えめに言っても懸念すべき事態です。Appleの公式回答は以下のとおりです。
Appleの広報担当者ナタリー・ケリス氏はWiredに対し、「Appleはお客様のプライバシーを重視しており、Apple IDのパスワードをリセットする前に複数の確認手続きを義務付けています。今回のケースでは、お客様の個人情報を入手した人物によってお客様のデータが侵害されました。さらに、Appleの社内ポリシーが完全に遵守されていなかったことが判明しました。お客様のデータを確実に保護するため、アカウントのパスワードリセットに関するすべてのプロセスを見直しています」と述べた。
さらに悪いことに、Wired はこれを自ら確認し、請求先住所とクレジットカード情報(ハッカーは Amazon のセキュリティホールを悪用して入手)の一部のみを使って他人のアカウントに不正アクセスすることに成功したのです。なんてこった!
自分を守る唯一の方法は、iTunesとApp Storeでの購入用と、iCloud用に秘密にしておく別のApple IDを使うことのようです。もちろん、これでは購入やデータへのアクセスをシンプルかつ単一の手段にするというApple IDの本来の目的が損なわれてしまいます。
マットの記述は実に興味深いので、ぜひ一読する価値があります。Wired でぜひご覧ください。
