[ハッカーたちが・・・:image]
事の重大性からいずれ詳しいことが書かれるだろうがとりあえず・・・
Gizmodo から Wired に移った Mat Honan が悪夢のような体験をしている。
MacRumors: “Apple Support Allowed Hacker Access to Reporter’s iCloud Account” by Arnold Kim: 05 August 2012
* * *
Mat Honan の iCloud アカウント
Wired のライター Mat Honan は、金曜日に彼の iCloud アカウントがハッキングされた話を載せている。その結果、彼の iPhone も iPad も MacBook Air もリモートで消去[remote wipe:リモートワイプ]されてしまった。
On Friday, Wired writer Mat Honan recounted the tale of how his iCloud account was hacked which resulted in his iPhone, iPad and MacBook Air getting remote wiped.
* * *
iCloud から Gmail、そして Twitter へ
iCloud アカウントがその侵入ポイントと見られ、それが Gmail へ、そして以前の雇用主であるギズモードの Twitter アカウントへのアクセスを許したようだ。
The point of entry appeared to be his iCloud account which was then used to gain access to Gmail and then his and former-employer Gizmodo’s Twitter accounts.
* * *
iCloud アカウントに侵入
午後4時50分、誰かが私の iCloud アカウントに侵入した。そしてパスワードをリセットし、その確認メッセージをゴミ箱に棄てた。私の使っているパスワードは7桁のアルファニューメリックで、他には使っていない。
At 4:50 PM, someone got into my iCloud account, reset the password and sent the confirmation message about the reset to the trash. My password was a 7 digit alphanumeric that I didn’t use elsewhere.
* * *
Google Account のパスワードを変更
私の Gmail アカウントのバックアップメールアドレスは、.mac のメールアドレスと同じものだ。4時52分、彼らは Gmail パスワードの復旧メールを .mac アカウントに送信した。その2分後、私の Google Account のパスワードが変更された旨のメールが私宛に届いた。
The backup email address on my Gmail account is that same .mac email address. At 4:52 PM, they sent a Gmail password recovery email to the .mac account. Two minutes later, an email arrived notifying me that my Google Account password had changed.
* * *
つぎつぎにリモートワイプ
5時0分、彼ら[ハッカーたち]は私の iPhone をリモートワイプした。
At 5:00 PM, they remote wiped my iPhone
5時01分、彼らは私の iPad をリモートワイプした。
At 5:01 PM, they remote wiped my iPad
5時05分、彼らは私の MacBook Air をリモートワイプした。
At 5:05, they remote wiped my MacBook Air.
* * *
Twitter も乗っ取られた
その数分後、彼らは私の Twitter を乗っ取った。ずっと以前に、私は自分の Twitter をギズモードのそれにリンクしていたのだ。彼らはギズモードの Twitter にもアクセスできるようになった。
A few minutes after that, they took over my Twitter. Because, a long time ago, I had linked my Twitter to Gizmodo’s they were then able to gain entry to that as well.
* * *
ブルートフォース攻撃か
ハッカーたちがどうやって彼の iCloud アカウントにアクセスできたのか、Honan は必ずしも全部が分かったワケではなかった。彼の推測では、ハッカーたちがブルートフォース攻撃[brute force attack:総当たり攻撃]でパスワードを探り出したのではないかというものだった。他にも、彼のパスワードがキーログ[key logger:キーロガー]された、ないしは安全性に欠けるサービスで用いたせいではないかと推測するものもいた。
Honan wasn’t entirely sure how the hackers had gotten access to his iCloud account. His guess was that they had somehow brute-force guessed the password, while others speculated his password had been keylogged or used in another insecure service.
* * *
ソーシャルハッキング
後に分かったことだが、ハッカーたちはアップルのサポートに電話をかけ、ユーザー自身であると信じ込ませることができたのだった。Honan はブログの追記で次のように述べている。
As it turns out, the hacker was able to call Apple support and convince them they were the user. From an update to the original blog post:
どうやったのか今ではハッキリしている。ハッカーたちからも、アップルからも確認が得られた。パスワードをハッキングしたのではなかった。ハッカーたちはアップルの技術サポートから侵入し、ソーシャルエンジニアリング[social engineering:ソーシャルハッキング]をうまくやってセキュリティ認証の質問(security questions)をはぐらかしたのだ。
I know how it was done now. Confirmed with both the hacker and Apple. It wasn’t password related. They got in via Apple tech support and some clever social engineering that let them bypass security questions.
* * *
Find My iPhone サービスを使って
ハッカーたちは自分が Mat Honan であると信じ込ませた後、アップルサポートに Honan の iCloud のパスワードを変更させ、そして完全なアクセス権を得たのだ。それから後は、アップルの Find My iPhone サービス(紛失した電話の安全機能としてリモートワイプが可能)を使って、Honan のデバイスをリモートワイプすることが出来た。
After convincing Apple support that they were Mat Honan, the hacker had Apple Support change Honan’s iCloud password which gave them full access. From there, they were able to perform the remote wipes on Honan’s devices using Apple’s Find My iPhone service which offers remote wipe as a security feature for lost devices.
* * *
誰の身にも起こりうる
Honan のような有名人は一般の iCloud ユーザーより標的になりやすいかもしれないが、個人情報を Facebook などのオンラインサービスで同じような形で公開して、誰でもアクセスできるようにしているひとは多い。Forbes の Adrian Kingsley-Hughes は次のように指摘している。「アップルはセキュリティを強化して、今回何がいけなかったのか明らかにすべきだ」と。
As a somewhat public figure, Honan may have been an easier target than the average iCloud user, but many users may also have personal information publicly available on online services such as Facebook that could be used in a similar fashion. Forbes’ Adrian Kingsley-Hughes suggests that Apple “needs to tighten up security and come clean about what went wrong here.”
* * *
最近 Honan の記事を見かけないと思ったら、Gizmodo から Wired に転身していたものらしい。
同じようなことが自分の身に起きると考えただけでゾッとする・・・
★ →[原文を見る:Original Text]
[…] iCloud アカウントをハッキングされた Mat Honan « maclalala2. […]