昨日ブログに書きました、米女優のヌード画像がiCloudを通じてインターネットに流出した事件について、
Appleが調査結果を発表いたしました。
AppleがiCloudからの有名人ヌード写真流出についての見解を発表
アップル、著名人写真流出で調査結果を明らかに--ターゲット攻撃によるもの
これによりますと、先日即修正した脆弱性を狙ったものではなく、セレブたちのアカウントを類推し、
そこからあるとあらゆるパスワードを入れてみてログオンを狙うというターゲット攻撃(リスト型アカウントハッキング)だったことがわかりました。
この「リスト型アカウントハッキング」。
記憶に新しいLINE乗っ取り事件もこのパターンで起こりました。
他サイトで得たIDとパスワードをLINEや楽天などその他のサイトでリストを総当たりするというパターンと(LINE乗っ取りのパターン)、
今回のiCloudのようにIDをゲットして、そのターゲットを狙い撃ち、パスワードを総当たりで打ち込み、乗っ取るというパターンがあります。
一昔前ではこんなこと人力ではできませんでしたが、最近はこの「総当たり」の部分をコンピューターにやらせ、
簡単に侵入・乗っ取りができてしまいます。
実は、日本の総務省も昨年12月、この事態を重くみて注意を呼びかけていました。
「リスト型アカウントハッキングによる不正ログインへの対応方策について(サイト管理者などインターネットサービス提供事業者向け対策集)」の公表「リスト型アカウントハッキングによる不正ログインへの対応方策について(サイト管理者などインターネットサービス提供事業者向け対策集)」の公表
どちらにしても、対策は一つで、
各アカウント毎に少しずつでもいいからパスワードを変えて、リスト攻撃のターゲットから外す
しかありません。
いままでは、「そんなパスワードを何個も作ったって覚えられないよぉ~」と、笑い話で済ませられましたが、
これからは、「そんなこと言っているといつ乗っ取られるかわかりませんよ!!」と笑えない時代になってきています。
スマートフォンをお持ちでしたら、パスワード表を作る等してパスワードを管理することも今はできるのです。
(もちろんスマホを落としたり、そのパスワード表を漏洩されてはアウトですが、それでも今までのパスワードはほとんど同じよりかは遙かにセキュリティは高いです)
リスト型アカウントハッキング対策として、最近SNSやネットワークバンキングでは、使用するスマホやパソコンを登録して、いつもと違うパソコンからログインするとメールが届くようになるサービスを行うところが増えました。
LINEに至ってはPINコードによるスマートフォンとパソコンを連携させないとパソコンでLINEを使えないようにしています。
※ちなみにLINE等のパスワード変更設定など、乗っ取り対策は当時ASCIIが作った記事がわかりやすかったので、ここでもリンクをご紹介しておきます。
いますぐに対応を!LINE乗っ取り被害に遭わないための対策総まとめ
(当時の対策ですので、今はすでに上記PINコードセキュリティとか追加されています。が、パスワード設定等は同じです)
今回のアップルiCloudへのターゲット攻撃事件により、今後はこちらの対策が、特にクラウド業界で増えていく可能性があります。
真っ先に考えられますのが、オンラインバンキングで多く採用されている、
一定数のパスワード入力を間違えたら、アカウント凍結
でしょうか(あくまで想像です)。
つまり、適当にパスワードを入れ、3回間違えたら少なくともその日はそのアカウントは使えなくなる。
場合によっては凍結解除の手続きをしないとそのまま使えなくなる・・・というのも考えられます。
出先や他のデバイスとのデーター連係で使うのがCloudです。
使いたい出先でそのままその日は使えなくなっては、しゃれなりません。
今後、アカウントIDとパスワードの管理はユーザーにとって必須のこととなるでしょう。
「う~ん、忘れちゃったぁ。まあいいか。パスワード再発行してもらえば」
では、すまされない時代に今はなっていることに注意が必要だと思います。