最近話題のiCloudハッキング。被害にあったのはMat Honan氏というGizmodo/Wiredのライターらしいのですが、そのハッキング手順が明らかになっています(WIRED.jp、iCloudハック事件の手口がガード不能すぎてヤバイ)。
ハッキングされ、iPhone/iPad/MacBookのデータが全消去されたほか、Gmailのアカウントが削除され、Twitterのアカウントが乗っ取られたというから恐ろしいですね。
■ハッカーの動機
「Twitterの3文字アカウントが欲しかったから」というのが動機のようです。なまじかっこいいアカウントをもっているのが逆効果だったのかも?
■ハッキング手順
WIREDの翻訳記事より、マイナビニュースの「電話1本でiCloudアカウントが乗っ取られた顛末とは」のほうが整理されています。この記事によると、ハッキングは以下の手順で進行しました。
- Honan氏のTwitterのプロフィールから個人ページにアクセス。Honan氏のGmailアドレスを推測。
- Gmailのアカウントリカバリーページで、予備のメールアドレスを確認(2段階認証プロセスを設定していなかったので)、xxx@me.comというメールアドレスがばれる。Apple IDをもっていることもばれる。
- Apple IDパスワードをリセットするために必要となる、Honan氏のクレジットカードを入手するためAmazonを利用する。
- 1回目の電話。名前、住所、メールアドレスを連絡し、ハッカー所有の新しいクレジットカードを追加する。
- 2回目の電話。名前、住所、追加したクレジットカードを利用してAmazonのメールアドレスを追加。
- 新しいメールアドレスを使ってAmazonのアカウントを乗っ取り、Honan氏のクレジットカード番号を入手
- Appleカスタマーセンターに電話。メールアドレス、住所、カード番号を伝え仮パスワードを入手。Apple IDアカウントに侵入成功。.Meメールを覗いてTwitterアカウントやGmailアカウントを乗っ取り、「Macを探す」「iPhoneを探す」機能でリモートスワイプ実行。やりたい放題のヒャッハー状態へ。
■まとめ
なかなか巧妙な手口ですね。ハッカーは、実際にパスワードを入手しなくても、サービスごとのセキュリティの認識の差を利用して、パスワードを再設定し、アカウント乗っ取りに成功したようです。
Apple,Amazonはセキュリティ対策を行い現在は上記手順は通用しないようですが、共通アカウントを使わない(共通メールアドレスは使わない)、住所、名前を特定されないようにするなど、個人で行えるセキュリティ対策は行っておいたほうがよいと思います。
