紛失したiPhoneの場所を探し出すことができる「iPhoneを探す」機能を悪用し、Macをリモートからロックし、身代金を要求する事件が発生している模様です(The Loop)。
「iPhoneを探す」機能はAppleの公式サービスで、iPhoneだけではなくiPadやMacなどさまざまなApple製品を探すことが可能です。機能を利用するとデバイスの位置情報を表示するだけではなく、紛失されたデバイスを悪用されないため、リモートからロックしたり、中身を消したりといった操作が可能となっています。
便利な機能ですがiCloud.comから実行する場合、Apple IDとパスワードだけでこの機能が利用できてしまうため、IDやパスワードの使いまわし等によって、情報が流出し、今回の問題が発生したと見られています。
▲iCloud.comで2ファクタ認証を設定していたとしても、IDとパスワードを入力した後「iPhoneを探す」を選ぶことが可能となっています。
Y'all my MacBook been locked and hacked. Someone help me @apple @AppleSupport pic.twitter.com/BE110TMgSv
— Jovan (@bunandsomesauce) 2017年9月16日
リモートロックの被害にあったユーザーのMacの画面には、身代金を送るよう指示が表示されています。
今回の事例は、iCloud自体に脆弱性があったわけではなさそうですが「iPhoneを探す」を実行する場合の追加のセキュリティ対策があっても良いのかもしれません。
例えばMacRumorsのコメント欄では、リモートロックを解除するためのパスコードと、ロック対象のデバイス(この場合Mac)のパスワードを同時に送信し、デバイスのパスワードが一致した場合に始めてMacをロックできるようにすれば良いのではといった改善案が提案されています。
