Apple、iCloudからの写真流出事件について「システムに欠陥はない」と主張 55
ストーリー by hylom
それでそんなに大量のアカウントをハックできるものなの 部門より
それでそんなに大量のアカウントをハックできるものなの 部門より
あるAnonymous Coward 曰く、
先日、著名人のプライベートな写真がiCloudから流出する事件が起きたが、これについてAppleが調査結果を発表した。これによると、先に流出の原因として挙げられていたiCloudや「iPhoneを探す」システムについて欠陥はなく、ターゲット攻撃によってユーザー名やパスワード、「秘密の質問」が破られたという(ITmedia)。
GIGAZINEでの手口解説記事 (スコア:4, 参考になる)
iCloud経由でヌード画像が大量流出した手法の詳細と対処法を元ハッカーが解説 [gigazine.net]
おおまかにまとめると以下のとおり。
今回のような大規模攻撃は、ハッカーコミュニティにおいて、さまざまな担当が協力して行われる。
情報収集担当は、SNSはもとより公的機関の有料データベースなども使ったり、ターゲットの偽アカウントでターゲットの友人に接近するなどして情報を集める。
パスワード窃取担当は情報収集担当の情報に加え、RAT [sophia-it.com]、フィッシング [sophia-it.com]、パスワードリセット詐欺 [sophia-it.com]などを使ってパスワードを盗み出す。
こうしてログイン可能になると、また別の担当がEPRB [elcomsoft.jp]のようなツールを使って、暗号化されたり削除されたものも含めクラウドデータを丸ごとリッピングする。
Re: (スコア:0)
つまりiCloudのパスワードさえ推測できれば、クラウドの写真はどっかの誰かのPCに簡単に同期がとれる、アップルからはひと言も言ってこないので本人には盗まれたこともわからない、ということ。
http://www.gizmodo.jp/2014/09/icloud2.html?utm_source=rss20&utm_me... [gizmodo.jp]
欠陥はないけど (スコア:1)
セキュリティは緩いってことですね。
Apple IDにおける 2段階認証の問題点 [hatenablog.com] (セキュリティは楽しいかね? Part 2)
AppleがFAQにも記載していて問題ないという認識なんだから、それを受け入れて使うかもっと堅い所を利用するかはユーザ次第。
OTP (スコア:1)
銀行とか、Microsoftの課金部分とかのお金が絡むところは結構対応である飲んですけどね。
andoroidも、iPhoneも WindowsPhoneも 、サーバに、プライベートな情報大量に保存するやつは、パスワードだけですよね。
そら ターゲットにされたら、のっとられるよね。
Re: (スコア:0)
銀行とか?
今は日本の地銀が狙われているようですが・・
自分が使っている銀行だと、ログインはパスワードだけ
振込などがワンタイムパスワード+αって感じだが
パスワード盗まれたら残金見られちゃうってことかwww
これも利便性とのトレードオフかも?
ガチガチに固めると使いにくくなるから
Re: (スコア:0)
日本の銀行だとワンタイムパスワードのジェネレータをわざわざ特製H/Wにしてしまって、
それを持ち歩くのが面倒なユーザーは移行しないで旧来のID/パスワード認証のみに
留まるみたいな変な状況…。
Re: (スコア:0)
特製ハードウェアじゃなくて、そういうメーカーのを使ってるだけ。
そして、それは、もっともセキュリティが高い。ソフトウェア的に盗むことも不可能だし。
別に変な状況ではないよ。海外でも普通にやってる。
面倒だと言う人間はセキュリティ犠牲にしてれば良いと思う。ただし文句いうなよと。
関係ないけど、銀行系や金融系は設定出来るパスワードが短かったりするのが大問題。
その辺りはセキュリティ意識低い人にあわせなくてもいいのにと思う。
Re: (スコア:0)
普通に実績のあるOATH対応でいいと思うのですけど、わざわざ個別H/Wにして
使いにくくし、それで使われないなら本末転倒ですね。
さすがですね (スコア:0, 参考になる)
Appleは悪くない。
悪いのはパスワードハックしたやつ。
パスワードは気をつけとけよと。
それでいいの? ホントに?
全然解決になってないと思うんですが...
Re: (スコア:0)
> Appleは悪くない。
> 悪いのはパスワードハックしたやつ。
> パスワードは気をつけとけよと。
違うよ。
Appleは悪くない。
悪いのは秘密の質問に誰かが類推できるような答えをセットしたユーザ。
2要素認証をセットしとけ(iCloudでは意味ないけど)。
と言ってるんだと思う。
解決になっていない、というのは同感。
最近修正したブルートフォースが可能な脆弱性を突かれたわけではないとは言っているものの、「秘密の質問」でブルートフォースに近いアクセスはあったはずで、それが防げていないということは、やっぱりiCloudのシステムを不正利用されたと言っていいと思う。
Re: (スコア:0)
秘密の質問を3つも登録させるAppleには何か悪意があるとしか考えられない
Re: (スコア:0)
# 仕方ないので、/dev/ramdom から読み出して ASCII 文字列を生成し、tr でひらがなに変換。
# 当然覚えることはしていません。
Re: (スコア:0)
やっぱこういうの、IDの大量入手とボットネットの利用ができたら、
「好きな食べ物は?」「ハンバーグ」とか一斉に仕掛けると何人かヒットしちゃうんでしょうかね…。
セレブのプライバシーは公開されてるので (スコア:0)
we have discovered that certain celebrity accounts were compromised by a very targeted attack on user names, passwords and security questions, a practice that has become all too common on the Internet.
セレブの場合、あの「秘密の質問」の答えがネット漁るとわかってしまう、ってことか?「子供時代を過ごした町の名前」とか。秘密の質問方式ってそもそも答えを普段秘密にしてるわけじゃない質問が含まれているって欠陥があるよね。
子供時代を過ごした町の名前を秘密にする人生って?
#本当に秘密の質問とかだとそれも問題「浮気相手の名前は?」とか
Re: (スコア:0)
昔留学してた時、そこの大学は各学生にメールアカウントを割り当てるのにデフォルトでは学生ファーストネーム1文字+苗字がID(重複ある時はファーストネーム増やす)で、パスワードは誕生日の月日をddmm形式にしたものだった。
親しい友人同士だと誕生日パーティとか開くから誕生日なんて公開情報みたいなもんだし、大学スポーツの選手なんかは大学の公式ページに誕生日が公開されてた。
危険性に気付いてる学生は使用前にパスワードを変更するのだけど、中にはそうでない学生もかなり居て、不正アクセス→プライベートな情報流出で騒ぎになってた。
しばらくそういう運用が続いていて自分が行った年にたまたま発覚したのか、それともその年からそんな馬鹿なことをしてたのかは不明だけど、何ともマヌケなセキュリティシステムだなと。
Re: (スコア:0)
IDとパスワードだけのシステムはみんな同じだろ?
IDとパスワードだけのシステムをIDとパスワードの組み合わせで使われることが欠陥なの?
> それでいいの? ホントに?
> 全然解決になってないと思うんですが...
apple がそれでいいって言ったの?解決って言っての?
言ってないと思うけど?
あなたの住宅はセキュリティ強化してますか?
鍵1個で開いちゃうんじゃないの?それって欠陥なの?解決してるの?
Re:さすがですね (スコア:2, おもしろおかしい)
警備員が常駐してるに決まってるだろ。ふざけんな
Re: (スコア:0)
各部屋に仮面ライダーだろ?
うちも常駐させてるからわかる
Re: (スコア:0)
仰るとおりです。
Appleがやることに間違いがあるわけがないですよね。
Re: (スコア:0)
ソーシャルハックでやられたのなら、少なくとも今回の件に対しては
あれが対応のほとんど全てになると思いますけど。
むしろ「全然解決になっていないと思う」のなら、その根拠を
書かないとダメでしょ。
Re: (スコア:0)
ソーシャルハックなら、iCloud以外も軒並みクラックされてるはずですが。
なぜiCloudだけの被害なのか考えてみました?
Re: (スコア:0)
iCloudを利用していたから
利用してないサービスは(今回、ターゲットは決まっていたようだし)被害受けるわけないし。
Re: (スコア:0)
>なぜiCloudだけ
え? 何で「だけ」と言えるの
Re: (スコア:0)
では、iCloud並みにやられたところの具体的に例をあげてみてください。
Re: (スコア:0)
> ソーシャルハックなら、iCloud以外も軒並みクラックされてるはずですが。
> なぜiCloudだけの被害なのか考えてみました?
あなたの情報では、ソーシャルハックはiCloudだけしか起きてないんですねぇ。
Re: (スコア:0)
で、iCloud以外のどこで起きてセレブのヌード写真が大量流出したの?
早く名前挙げてみてよ。ほら早く。
Re: (スコア:0)
別ACですけど、あまりにもお人好しすぎるようなので黙っていられず。
> ソーシャルハックでやられたのなら、少なくとも今回の件に対しては
> あれが対応のほとんど全てになると思いますけど。
対応の全てには程遠いです。
最低限も満たしていないのがiCloudのセキュリティですから。
> むしろ「全然解決になっていないと思う」のなら、その根拠を
> 書かないとダメでしょ。
「アップルが2要素認証を設定しろ」と推奨したものの、iCloudにある
データは2要素認証では保護されておらず、簡単にパスできる。
これは全く解決になっていないという話、そのものです。
「秘密の質問」を設定すること
Re: (スコア:0)
そこまで言うなら、せめて調べてから書こうよ…。
Re: (スコア:0)
パスワードなんか知らなくても、身辺調査によるソーシャルエンジニアリングで秘密の質問を突破したら何でもできるシステムというのが、IDとパスワードだけでやってるサービスよりも脆弱だということです。
だからアップル製品なんか素人が使うもんじゃないってのに。
ブルートフォースアタックができる仕様を継続? (スコア:0)
今回はiCloudアカウントに対してブルートフォースアタックが行なわれ、パスワードが破られたそうですが、
もしブルートフォースアタックできることが欠陥でないと主張するなら、今後も修正されなさそうですね(笑)
Re:ブルートフォースアタックができる仕様を継続? (スコア:2)
Appleの秘密の質問,相当面倒なんですよね
普段秘密の質問にパスワードと同等レベルのランダムな文字列を設定しているけれど,
3つも設定する必要があって面倒でした
これだと適当に設定する人が沢山出てしまうだろうなぁ…
Re:ブルートフォースアタックができる仕様を継続? (スコア:2)
秘密の質問、ランダムな文字列にすれば類推されないしそういう使い方の方がいいのかもしれない。
あれ、「質問の答え」をその時の気分で決めて次に要求された時にいつも正確に思い出せない。
Re: (スコア:0)
別に、ランダムじゃなくてもいいのでは。というか、ランダムにすると結局覚えきれないよね。
自分は質問とは全く関係ない(だけどほぼ同じ)答えを入れている。
ex)
q.お母さんの旧姓は?
a.冷やし中華始めました
みたいな感じ。べつに、やつらが論理的整合性まで調べるわけじゃないから。
#みっつあると、どれをどれに割り当てたか忘れるんだよね。
Re: (スコア:0)
なんで覚えようとするの?
記録しときゃいいだけじゃん。
Re: (スコア:0)
新型iPhoneの目玉機能として「iCloudがセキュアに!」までやるのがお約束ってモンすよ
Re: (スコア:0)
ハックツールが実際に公開されてたようだし、Find My iPhoneに脆弱性があったのは事実っぽいよな。
https://github.com/hackappcom/ibrute [github.com]
すでにAppleが対応済みで使えなくなったよ、と注意書きがついた。
Apple的には、ブルートフォースだったけど、ターゲットは最初から絞られてた。(だから、うちのせいじゃないよ)
セレブのメールアドレスがどこかから漏れてて、それをターゲットにiCloudにアタックしたってことなのかな。
それでもAppleの責任は十分あると思うけど。
とりあえず、強力なパスワードにしてれば防げそう。
秘密の質問、なんてまじめに設定してる人いるのかな?
Re: (スコア:0)
ログイン連続失敗時に短時間ロックでもすりゃ
簡単にそこそこの対策になると思うんだけど、
アポーはそれすらしないつもりかな?
対策したら負けを認めちゃうもんね。
Re: (スコア:0)
そこはもう対処済みっぽい。
Re: (スコア:0)
ブルートフォースアタックが出来るような脆弱性はない上に、用意してあるのに
2段階認証をしていないのはユーザの選択だからってこと。
Re: (スコア:0)
脆弱性はあったし、2段階認証はiCloudを守らない、ってこと。
セレブになると秘密の質問が意味をなさなくなる (スコア:0)
少年時代に過ごした街の名前とか、子供の頃飼っていたペットの名前、とかWikipediaをあされば出てくる程度の秘密だったり。
ペットの名前はニンゲンです!とか。母方の旧姓は?とか。
今回そこを衝かれたとか。
Re: (スコア:0)
秘密の質問が秘密でない質問しか選べないってのが問題かなと。
ソーシャルハックに弱い秘密の質問が必須で無効化出来ないってのも問題だと思うんですよね。
Re: (スコア:0)
Wikipediaに項目があるセレブつーか、一般人でもTwitterなりFBなりSNSのログを漁れば出てくる情報だったりするからな。
隙のあるターゲットはわんさかいるわけで、ソーシャルハックに弱い秘密の質問はマジでセキュリティホールでしかない。
Re: (スコア:0)
秘密の質問って、質問内容とは違うことを答えるのが自分の中では標準だわ
Appleを信用する人の脳に欠陥がある (スコア:0)
あるいは家庭用ゲーム機に脳を破壊されたか?
言ったもん勝ち (スコア:0)
問題ないって宣言したもの勝ち
セキュリティーに理解のない一般大衆が大部分を占める以上は
「どっかにAppleのせいじゃないって書いてあったよ」
「ああ、そうなんだー」
が殆どの場合成り立つ。
その宣伝は信者が熱心にやってくれるしAppleは手間も金もかけず脆弱なサービスを維持できる
マカー怖ぇ (スコア:0)
一連のコメントで、Apple以外の危険を説いているのは
もちろんマカーなわけだけど、ちょっと怖いわぁ…
たしかに、創価とか中国共産党にはマカーは少なめで
マカーにとっての、かっこうの仮想敵かもしんないけどさ