セレブの写真流出から学ぶオンラインクラウドサービスとのつきあい方 - トレンドマイクロが公開
なぜ写真は流出したのか
「iCloud」だからか、セレブだからか、それともヌード写真の流出だからか――iCloudのハッキング事件の報道が続いている。AppleはiCloudそのものの脆弱性やiCloud全体への攻撃を否定しているが、犯人はなんらかの手段によりセレブのアカウントに不正アクセスしたことは間違いない。われわれ一般ユーザーが今回の事件から得る教訓は、クラウドストレージサービスそのものは安全ではない、ということだろう。セキュリティベンダーのトレンドマイクロがブログでポイントを伝授している。
今回の一件はオスカー女優Jennifer Lawrence氏など多数のセレブのプライベートな画像が何者かによって入手され、掲示板サイト4Chanに投稿されたというものだ。その数は101人ともいわれており、iCloudに保存していた写真が不正アクセスを受けた。Appleはこれに対し、iCloudサービスそのものへの大規模な攻撃を否定しており、不正アクセスを行った悪意あるハッカーはターゲットを狙ってアカウントとパスワードのマッチに成功したと見られている。
なお、攻撃はiCloudと「Find My iPhone」の脆弱性を悪用し、「iBrute」といわれるツールを利用して総当たり攻撃(ブルートフォース)を行ったみる向きが多い。Appleはその後この脆弱性を修正している。
トレンドマイクロでは、iCloudが不正アクセスされた次の5つの可能性を指摘している。合わせて具体的な対策も紹介している。次ページ以降でみていこう。
●不正アクセス5つの可能性その1
○弱いパスワード
1つ目は「弱いパスワード」で、簡単に推測できるパスワードを利用していたことだ。この場合、「パスワードに使用されやすい文字列のリストを用いてログインを試みる『辞書攻撃』や、存在を把握している複数のアカウントに対してパスワードを固定してログイン試行する『リバースブルートフォース』といった攻撃方法がある」という。
・対策
2ファクタ認証の利用により、パスワード認証にもう1つステップをプラスできる。Appleでは「2ステップ確認」として提供しており、携帯電話など1台以上のデバイスを登録し、その端末に送られてくる確認コードを入力することでサインインができる。Googleなど多くのWebサービスでも提供している。利用するにはMy Apple IDにアクセスし、「Apple IDを管理」から「パスワードとセキュリティ」を選択、そこにある「2ステップ確認」から有効にできる。
○パスワードのリセット機能の悪用
2つ目は「パスワードのリセット機能の悪用」。パスワードをリセットする際、事前に設定しておいた秘密の質問(Apple IDでは「セキュリティ質問」)を利用して復旧することになる。「中学校の名前は?」「最初に飼ったペットの名前は?」などの秘密の質問は、プロフィールが公になっているセレブの場合"秘密"ではないことが多い。攻撃者は少し調べるだけで秘密の質問に答えられたのかもしれない。
・対策
FacebookなどのSNSで出身校やプライベートを公開することが多い時代、秘密の質問(セキュリティ質問)の答えは、セレブでなくても情報を明かしてしまっている可能性がある。カスタマイズして自分で質問を設定できる場合もあるので、細心の注意を払って質問と答えを設定したい。
●不正アクセス5つの可能性その2
○別のアカウントを経由
3つ目は「別のアカウントを経由」だ。iCloudに登録しているメールアカウントなど、iCloudと連携している別のアカウントの乗っ取りに成功し、その後にiCloudに不正アクセスすることも考えられる。
・対策
クラウドは便利だが、便利すぎてどのサービスとどのサービスが連携しているのかわかっていない場合もあるかもしれない。たとえばFacebookやGoogleのアカウントでサインインできるSNSサインインは便利だが、連携する前にセキュリティと秤にかけよう。
○同じパスワードの利用
4つ目は「同じパスワードの利用」。iCloud以外にも、Web上で利用できるさまざまなサービスを利用しており、これらで同じパスワードを利用している場合、1つのサービスが何らかの形で情報漏洩すると、他のサービスに簡単に侵入できてしまうことになる。トレンドマイクロは、「流出した個人情報を簡易検索するサービスや窃取された個人情報の販売数過多により、窃取された情報の価格は下落している背景があり、攻撃者にとってはアカウントとパスワードのリストが入手しやすくなっている」と警告している。
・対策
パスワードの使い回しはやめよう。「複数のWebサイトやオンラインサービスで同じパスワードを使用するのが得策でないことは、これまで何度も発生しているアカウントリスト攻撃によるアカウント侵害が証明している」とトレンドマイクロは釘を刺す。パスワードの管理ができないという場合は、パスワード管理ソフトなどの対策を利用すればよいという。
●不正アクセス5つの可能性その3
○フィッシングによるアカウント情報の入手
5つ目は「フィッシングによるアカウント情報の入手」。フィッシングメールやメッセージを送信し、ターゲットがそうとは気がつかずに誘導されたページで情報を入力するーーこれを利用して、本人となりすましてiCloudにアクセスできる。フィッシング手法は複雑なハッキングと同程度の効果がある、とトレンドマイクロ。AppleはこれまでMicrosoft(Windows)と比較してOSのシェアが低いことからもターゲットとなることが少なかったが、iPhoneなどApple製品の普及を受けてだろう、「Apple ID など Apple 関連の情報を狙うフィッシング詐欺サイトは 2014年に入り急増している」とトレンドマイクロは報告している。表のように、2013年第1四半期と2014年第2四半期では十倍を遥かに超える伸びで増えているのがわかる。
・対策
総合的なセキュリティソフトウェアを導入することで、防ぎきれない攻撃に最大限の対策を講じることができるという。
あわせて、クラウドで保存すべきデータについても考えなおすべきかもしれない。今回のセレブハッキング事件で、あるセレブはずいぶん前に削除した写真が入手されていたと報告している。削除したつもりでも完全に削除されていない可能性がある。ヌード写真、あるいは財務情報などの機密データをクラウドで保存することが望ましいのか、ポリシーを設けておくのもよさそうだ。「モバイル端末上で削除した情報が、オンラインサービス上には残っている場合がある」とトレンドマイクロは警告している。
オンラインサービスへの攻撃は日本でも増えている。トレンドマイクロでは、2013年より増えており、2014年第2四半期にはアカウント侵害の報告が61万件に達していると述べている。
時計アニエスベー 時計セイコーハミルトンスイス 時計citizen 腕時計iwc 時計noon 時計ck 時計インディペンデント 時計フレデリックコンスタントマークバイマークジェイコブスmichael kors 時計