セレブのプライベート写真流出事件について、Appleが公式コメントした模様。
要するにiCloudのアカウントの一部が不正にアクセスされたが、それはAppleのシステムの脆弱性によるものではなかった、ということだ。不正アクセスの手口は個人ごとにさまざまな情報を収集してパスワードを推測するなどきわめて古典的なものだった。
ただ、例のブルートフォース攻撃の件に言及してないので気になった。
iCloudを巡っては、アカウントにブルートフォース(総当たり)攻撃を仕掛けてパスワードを破れるというツールがGitHubで公開され、Find my iPhoneにブルートフォース防止対策が実装されていない問題が指摘されていた。
Appleはこの問題を修正したと伝えられているが、2日の発表ではパスワード破りツールについても、ブルートフォース対策についても言及していない。
う〜ん、「Find My iPhone」の件はどうなったんだろう、と思ったら以下のような記事が。
流出した写真のようなデータを売買する市場が存在し、ネット上のクラッカー達が手分けして標的の個人情報をSNS等から掻き集めて解析し、ユーザーIDやパスワードや「秘密の質問」などを割り出すとのこと。ここで紹介されている記事↓によると、
クラッカー達のやりとりをウォッチしている限り、クラックの方法の議論や成果についての自慢などの話題の中に、例の「Find My iPhone」の脆弱性を突く話は出ていないので、その方法が使われた可能性は低い、とのこと(もっとも、Apple ID・パスワード復旧プロセスのあまり良くない点は指摘されている)。
この情報の信頼性は分からんけど、「iCloudのシステムをクラックされてない」という点で、Appleは嘘はついてないんじゃないかな、と思う。
とりあえず、パスワードを複雑なものにして、秘密の質問をSNS等で公開している個人情報に関係のないものにして、2段階認証を使った方が良さそう。ただ、残念なことに、Appleの2段階認証は現状、「iCloudバックアップ」と「フォトストリーム」には対応していない模様。
- Appleの2要素認証は、iCloudバックアップとフォトストスリームを保護していない(TechCrunch)
あらら…。