ケビン・ボスティック
· 1分で読めます
Appleが2段階認証を導入してアカウントのセキュリティを強化した翌日、また別の脆弱性が明らかになった。この脆弱性により、悪意のあるユーザーが電子メールアドレスと生年月日のみを使用して他人のApple IDとiCloudのパスワードをリセットできる可能性がある。
更新:脆弱性の報告を受けて、Apple は「iForgot」ウェブページをメンテナンスのために閉鎖しました。
この新たな脆弱性はウェブサイトに掲載されており、AppleのiForgotページを使ってパスワードをリセットできると、The Vergeが金曜日に報じた。セキュリティ上の懸念を理由に、同メディアは脆弱性の詳細を説明したページへのリンクを貼っていないが、このセキュリティホールを直接確認したと報じている。
この脆弱性を悪用するには、Apple IDに関連付けられた生年月日とメールアドレスの両方が必要です。脆弱性に関する報告書では具体的な手順は明らかにされていませんが、悪意のあるユーザーがiForgotページで生年月日を尋ねるセキュリティ質問に回答する際に、改変されたURLを貼り付けるという手法が用いられます。これによりパスワードがリセットされ、別のユーザーがApple IDアカウント全体にアクセスできるようになる可能性があります。
この脆弱性に関するニュースは、AppleがApple IDの2段階認証を有効にした翌日に報じられました。強化されたセキュリティ機能を有効にすると、ユーザーは「iPhoneを探す」アプリまたはテキストメッセージを通じて、モバイルデバイスで認証コードを受け取ることができます。これらのセキュリティコードは、Apple IDアカウントに変更を加える際の2つ目の認証方法として使用されます。
