マイキー・キャンベル
· 3分で読めます
ハッカーらは金曜日遅くにホナン氏のiCloudアカウントに侵入し、同氏のMacBook Air、iPad、iPhoneのデータを消去し、ギズモードのTwitterフィードを含む関連アカウント全体に大混乱を引き起こした。
ホーナン氏は当初、短い英数字のパスワードを入手するために総当たり攻撃が行われたと考えていたが、後に自身のブログで、Appleのテクニカルサポート担当者による「ソーシャルエンジニアリング」が原因だと述べている。月曜日にWiredが報じたより詳細な記事の中で、同氏はハッカーたちが、探し方を知っている人なら簡単に入手できる一連のデータをつなぎ合わせることで不正アクセスを獲得したと指摘している。
興味深いことに、「フォビア」と名乗るハッカーと思われる人物の一人がホナン氏に連絡を取り、ホナン氏は告訴しないと約束した後、侵入がどのように、そしてなぜ起こったのかを正確に知った。
ホナン氏は、AmazonからAppleまで、自身のアカウントはすべて「デイジーチェーン」で繋がれており、クレジットカード情報、メールアドレス、住所などがすべてセキュリティ対策を回避できる形で繋がっていると指摘する。今回の侵入は、ホナン氏のケースではAmazonとAppleのサポートスタッフという形で現れた人的要因がなければ不可能だっただろう。
ホナンはこう書いている。
しかし、私の身に起きた出来事は、AppleとAmazonをはじめとする複数の顧客サービスシステムにおける重大なセキュリティ上の欠陥を露呈するものです。Appleのテクニカルサポートはハッカーに私のiCloudアカウントへのアクセスを許可し、Amazonのテクニカルサポートはハッカーに、Appleが情報公開に使用した情報の一部(クレジットカード番号の一部)を閲覧する権限を与えました。つまり、Amazonがウェブ上で平文のまま表示しても問題ないと考えている4桁の数字は、Appleが本人確認を行うのに十分安全だと考えている数字と全く同じなのです。この乖離は、テクノロジー業界全体に蔓延するデータ管理ポリシーの欠陥を露呈させ、クラウドコンピューティングとコネクテッドデバイスの時代を迎えるにあたり、迫り来る悪夢を示唆しています。
マット・ホナン|出典:Wired
標的はHonan氏の@Mat Twitterフィードで、比較的簡単な手順でアクセスされました。まず、ハッカーたちはHonan氏のTwitterアカウントにリンクされた個人ウェブページからGmailアドレスを見つけました。GmailアカウントがデフォルトのTwitterアドレスだったため、ハッカーたちはGoogleのアカウント復旧ページに移動し、デフォルトのバックアップとして「m…[email protected]」という部分的なアドレスを取得しました。ハッカーが必要としたのは、ドメイン登録ログから見つけたHonan氏の自宅住所、.meアカウントのアドレス、そしてAppleに登録されているクレジットカード番号の下4桁だけでした。
最後の情報こそが、人間のサポートスタッフの出番であり、セキュリティシステムが機能不全に陥る原因です。ハッカーたちはAmazonのサポートスタッフに電話をかけ、「ソーシャルエンジニアリング」によって、一見標準的なプロトコルを用いて、ホナン氏のクレジットカード番号の下4桁を盗み出させました。
ホナン氏は次のように説明する。
まずAmazonに電話し、自分がアカウント所有者であること、そしてアカウントにクレジットカード番号を追加したいことを伝えます。必要なのは、アカウント名、関連付けられているメールアドレス、そして請求先住所だけです。するとAmazonは、新しいクレジットカード情報を入力できるようにします。(Wiredは、業界が公開している自己チェックアルゴリズムに準拠した偽のカード番号を生成するウェブサイトから、偽のクレジットカード番号を使用しました。)そして電話を切ります。次にAmazonに電話をかけ直し、アカウントにアクセスできなくなったことを伝えます。名前、請求先住所、そして前回の電話で伝えた新しいクレジットカード番号を伝えると、Amazonはアカウントに新しいメールアドレスを追加できるようにします。そこからAmazonのウェブサイトにアクセスし、新しいメールアドレスにパスワードリセットを送信します。これにより、アカウントに登録されているすべてのクレジットカード情報を確認できます。ただし、番号全体ではなく、下4桁の情報だけです。しかし、ご存知の通り、Appleが必要とするのは下4桁だけです。
この作戦は非常に単純で、Wired は数分間でそのプロセスを 2 回再現することができました。
そこからハッカーたちはクレジットカード、請求先住所、そしてホナン氏の名前をAppleCareに持ち込み、一時的なiCloudパスワードを発行するのに十分な情報を入手しました。この時点で、ホナン氏はもはや自分のデジタルライフをコントロールできなくなっていました。
ホナン氏によれば、
Appleのテクニカルサポートは、週末に2回、Apple IDにアクセスするために必要なのは、関連付けられたメールアドレス、クレジットカード番号、請求先住所、そして登録済みのクレジットカード番号の下4桁だけだと確認してくれました。私はこの点を明確に伝えました。AppleCareへの2回目のテクニカルサポート電話でも、担当者は同じことを確認してくれました。「確認に必要なのは、本当にこれだけです」と彼は言いました。
「Apple に関連するあらゆるメールにアクセスできるのは事実です」と Phobia は主張しています。
ホーナン氏は、AppleとAmazonのセキュリティシステムはより厳格に検証されるべきだが、最終的な責任はユーザーにあると指摘する。定期的にファイルをバックアップし、クレジットカードやメールアドレスを使い回さず、あらゆる予防策を講じることが、このような攻撃を阻止する鍵となる。
また、Appleの「iPhoneを探す」と「Macを探す」機能も問題となっています。これらの機能は、紛失・盗難にあったデバイスの位置を特定し、pingを送信し、リモートワイプすることができます。「iPhoneを探す」は、比較的紛失しやすいAppleの端末には役立つかもしれませんが、「Macを探す」の有用性はやや明確ではありません。
