パスワードを忘れた? アカウント作成
11541439 story
セキュリティ

Apple、iCloudからの写真流出事件について「システムに欠陥はない」と主張 55

ストーリー by hylom
それでそんなに大量のアカウントをハックできるものなの 部門より
あるAnonymous Coward 曰く、

先日、著名人のプライベートな写真がiCloudから流出する事件が起きたが、これについてAppleが調査結果を発表した。これによると、先に流出の原因として挙げられていたiCloudや「iPhoneを探す」システムについて欠陥はなく、ターゲット攻撃によってユーザー名やパスワード、「秘密の質問」が破られたという(ITmedia)。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Hamo73 (35938) on 2014年09月04日 22時11分 (#2670775)

    iCloud経由でヌード画像が大量流出した手法の詳細と対処法を元ハッカーが解説 [gigazine.net]

    おおまかにまとめると以下のとおり。

    今回のような大規模攻撃は、ハッカーコミュニティにおいて、さまざまな担当が協力して行われる。

    情報収集担当は、SNSはもとより公的機関の有料データベースなども使ったり、ターゲットの偽アカウントでターゲットの友人に接近するなどして情報を集める。

    パスワード窃取担当は情報収集担当の情報に加え、RAT [sophia-it.com]、フィッシング [sophia-it.com]、パスワードリセット詐欺 [sophia-it.com]などを使ってパスワードを盗み出す。

    こうしてログイン可能になると、また別の担当がEPRB [elcomsoft.jp]のようなツールを使って、暗号化されたり削除されたものも含めクラウドデータを丸ごとリッピングする。

  • by nemui4 (20313) on 2014年09月04日 14時16分 (#2670407) 日記

    セキュリティは緩いってことですね。

    Apple IDにおける 2段階認証の問題点 [hatenablog.com] (セキュリティは楽しいかね? Part 2)

    結論を先に書くと、Apple IDの 2段階認証で保護されるのは My Apple IDへのログイン、iTunes Storeでの購入など一部に限られ、iCloud上に保存されたデータの保護には役に立たない、というものです (Appleの FAQにもちゃんと書いてはあるのですが)。

    AppleがFAQにも記載していて問題ないという認識なんだから、それを受け入れて使うかもっと堅い所を利用するかはユーザ次第。

  • by mikeneko007 (37541) on 2014年09月04日 14時24分 (#2670413)
    ディアブロとかのゲームだと、ワンタイムパスワードオプションでつかえますよね、
    銀行とか、Microsoftの課金部分とかのお金が絡むところは結構対応である飲んですけどね。

    andoroidも、iPhoneも WindowsPhoneも 、サーバに、プライベートな情報大量に保存するやつは、パスワードだけですよね。
    そら ターゲットにされたら、のっとられるよね。
    • by Anonymous Coward

      銀行とか?
      今は日本の地銀が狙われているようですが・・

      自分が使っている銀行だと、ログインはパスワードだけ
      振込などがワンタイムパスワード+αって感じだが

      パスワード盗まれたら残金見られちゃうってことかwww

      これも利便性とのトレードオフかも?
      ガチガチに固めると使いにくくなるから

      • by Anonymous Coward

        日本の銀行だとワンタイムパスワードのジェネレータをわざわざ特製H/Wにしてしまって、
        それを持ち歩くのが面倒なユーザーは移行しないで旧来のID/パスワード認証のみに
        留まるみたいな変な状況…。

        • by Anonymous Coward

          特製ハードウェアじゃなくて、そういうメーカーのを使ってるだけ。
          そして、それは、もっともセキュリティが高い。ソフトウェア的に盗むことも不可能だし。
          別に変な状況ではないよ。海外でも普通にやってる。

          面倒だと言う人間はセキュリティ犠牲にしてれば良いと思う。ただし文句いうなよと。

          関係ないけど、銀行系や金融系は設定出来るパスワードが短かったりするのが大問題。
          その辺りはセキュリティ意識低い人にあわせなくてもいいのにと思う。

          • by Anonymous Coward

            普通に実績のあるOATH対応でいいと思うのですけど、わざわざ個別H/Wにして
            使いにくくし、それで使われないなら本末転倒ですね。

  • さすがですね (スコア:0, 参考になる)

    by Anonymous Coward on 2014年09月04日 14時13分 (#2670403)

    Appleは悪くない。
    悪いのはパスワードハックしたやつ。
    パスワードは気をつけとけよと。

    それでいいの? ホントに?
    全然解決になってないと思うんですが...

    • by Anonymous Coward

      > Appleは悪くない。
      > 悪いのはパスワードハックしたやつ。
      > パスワードは気をつけとけよと。

      違うよ。

       Appleは悪くない。
       悪いのは秘密の質問に誰かが類推できるような答えをセットしたユーザ。
       2要素認証をセットしとけ(iCloudでは意味ないけど)。

      と言ってるんだと思う。

      解決になっていない、というのは同感。

      最近修正したブルートフォースが可能な脆弱性を突かれたわけではないとは言っているものの、「秘密の質問」でブルートフォースに近いアクセスはあったはずで、それが防げていないということは、やっぱりiCloudのシステムを不正利用されたと言っていいと思う。

      • by Anonymous Coward

        秘密の質問を3つも登録させるAppleには何か悪意があるとしか考えられない

        • by Anonymous Coward
          りそな銀行も三つ登録しなければなりませんでした。しかも日本語で。
          # 仕方ないので、/dev/ramdom から読み出して ASCII 文字列を生成し、tr でひらがなに変換。
          # 当然覚えることはしていません。
          • by Anonymous Coward

            やっぱこういうの、IDの大量入手とボットネットの利用ができたら、
            「好きな食べ物は?」「ハンバーグ」とか一斉に仕掛けると何人かヒットしちゃうんでしょうかね…。

      • we have discovered that certain celebrity accounts were compromised by a very targeted attack on user names, passwords and security questions, a practice that has become all too common on the Internet.
        セレブの場合、あの「秘密の質問」の答えがネット漁るとわかってしまう、ってことか?「子供時代を過ごした町の名前」とか。秘密の質問方式ってそもそも答えを普段秘密にしてるわけじゃない質問が含まれているって欠陥があるよね。
        子供時代を過ごした町の名前を秘密にする人生って?
        #本当に秘密の質問とかだとそれも問題「浮気相手の名前は?」とか

        • by Anonymous Coward

          昔留学してた時、そこの大学は各学生にメールアカウントを割り当てるのにデフォルトでは学生ファーストネーム1文字+苗字がID(重複ある時はファーストネーム増やす)で、パスワードは誕生日の月日をddmm形式にしたものだった。
          親しい友人同士だと誕生日パーティとか開くから誕生日なんて公開情報みたいなもんだし、大学スポーツの選手なんかは大学の公式ページに誕生日が公開されてた。
          危険性に気付いてる学生は使用前にパスワードを変更するのだけど、中にはそうでない学生もかなり居て、不正アクセス→プライベートな情報流出で騒ぎになってた。
          しばらくそういう運用が続いていて自分が行った年にたまたま発覚したのか、それともその年からそんな馬鹿なことをしてたのかは不明だけど、何ともマヌケなセキュリティシステムだなと。

    • by Anonymous Coward

      IDとパスワードだけのシステムはみんな同じだろ?
      IDとパスワードだけのシステムをIDとパスワードの組み合わせで使われることが欠陥なの?

      > それでいいの? ホントに?
      > 全然解決になってないと思うんですが...

      apple がそれでいいって言ったの?解決って言っての?
      言ってないと思うけど?

        あなたの住宅はセキュリティ強化してますか?
        鍵1個で開いちゃうんじゃないの?それって欠陥なの?解決してるの?

      • Re:さすがですね (スコア:2, おもしろおかしい)

        by Anonymous Coward on 2014年09月04日 17時48分 (#2670590)
        > あなたの住宅はセキュリティ強化してますか?
        警備員が常駐してるに決まってるだろ。ふざけんな
        親コメント
        • by Anonymous Coward

          各部屋に仮面ライダーだろ?
          うちも常駐させてるからわかる

      • by Anonymous Coward

        仰るとおりです。

        Appleがやることに間違いがあるわけがないですよね。

    • by Anonymous Coward

      ソーシャルハックでやられたのなら、少なくとも今回の件に対しては
      あれが対応のほとんど全てになると思いますけど。

      むしろ「全然解決になっていないと思う」のなら、その根拠を
      書かないとダメでしょ。

      • by Anonymous Coward

        ソーシャルハックなら、iCloud以外も軒並みクラックされてるはずですが。
        なぜiCloudだけの被害なのか考えてみました?

        • by Anonymous Coward

          iCloudを利用していたから
          利用してないサービスは(今回、ターゲットは決まっていたようだし)被害受けるわけないし。

        • by Anonymous Coward

          >なぜiCloudだけ

          え? 何で「だけ」と言えるの

          • by Anonymous Coward

            では、iCloud並みにやられたところの具体的に例をあげてみてください。

        • by Anonymous Coward

          > ソーシャルハックなら、iCloud以外も軒並みクラックされてるはずですが。
          > なぜiCloudだけの被害なのか考えてみました?

          あなたの情報では、ソーシャルハックはiCloudだけしか起きてないんですねぇ。

          • by Anonymous Coward

            で、iCloud以外のどこで起きてセレブのヌード写真が大量流出したの?
            早く名前挙げてみてよ。ほら早く。

      • by Anonymous Coward

        別ACですけど、あまりにもお人好しすぎるようなので黙っていられず。

        > ソーシャルハックでやられたのなら、少なくとも今回の件に対しては
        > あれが対応のほとんど全てになると思いますけど。

        対応の全てには程遠いです。
        最低限も満たしていないのがiCloudのセキュリティですから。

        > むしろ「全然解決になっていないと思う」のなら、その根拠を
        > 書かないとダメでしょ。

        「アップルが2要素認証を設定しろ」と推奨したものの、iCloudにある
        データは2要素認証では保護されておらず、簡単にパスできる。
        これは全く解決になっていないという話、そのものです。

        「秘密の質問」を設定すること

        • by Anonymous Coward

          そこまで言うなら、せめて調べてから書こうよ…。

  • by Anonymous Coward on 2014年09月04日 14時14分 (#2670405)

    今回はiCloudアカウントに対してブルートフォースアタックが行なわれ、パスワードが破られたそうですが、
    もしブルートフォースアタックできることが欠陥でないと主張するなら、今後も修正されなさそうですね(笑)

    • Appleの秘密の質問,相当面倒なんですよね
      普段秘密の質問にパスワードと同等レベルのランダムな文字列を設定しているけれど,
      3つも設定する必要があって面倒でした
      これだと適当に設定する人が沢山出てしまうだろうなぁ…

      親コメント
      • 秘密の質問、ランダムな文字列にすれば類推されないしそういう使い方の方がいいのかもしれない。
        あれ、「質問の答え」をその時の気分で決めて次に要求された時にいつも正確に思い出せない。

        親コメント
        • by Anonymous Coward

          別に、ランダムじゃなくてもいいのでは。というか、ランダムにすると結局覚えきれないよね。

          自分は質問とは全く関係ない(だけどほぼ同じ)答えを入れている。
          ex)
          q.お母さんの旧姓は?
          a.冷やし中華始めました
          みたいな感じ。べつに、やつらが論理的整合性まで調べるわけじゃないから。
          #みっつあると、どれをどれに割り当てたか忘れるんだよね。

          • by Anonymous Coward

            なんで覚えようとするの?
            記録しときゃいいだけじゃん。

    • by Anonymous Coward

      新型iPhoneの目玉機能として「iCloudがセキュアに!」までやるのがお約束ってモンすよ

    • by Anonymous Coward

      ハックツールが実際に公開されてたようだし、Find My iPhoneに脆弱性があったのは事実っぽいよな。
      https://github.com/hackappcom/ibrute [github.com]
      すでにAppleが対応済みで使えなくなったよ、と注意書きがついた。

      Apple的には、ブルートフォースだったけど、ターゲットは最初から絞られてた。(だから、うちのせいじゃないよ)
      セレブのメールアドレスがどこかから漏れてて、それをターゲットにiCloudにアタックしたってことなのかな。
      それでもAppleの責任は十分あると思うけど。

      とりあえず、強力なパスワードにしてれば防げそう。
      秘密の質問、なんてまじめに設定してる人いるのかな?

    • by Anonymous Coward

      ログイン連続失敗時に短時間ロックでもすりゃ
      簡単にそこそこの対策になると思うんだけど、
      アポーはそれすらしないつもりかな?
      対策したら負けを認めちゃうもんね。

      • by Anonymous Coward

        そこはもう対処済みっぽい。

    • by Anonymous Coward

      ブルートフォースアタックが出来るような脆弱性はない上に、用意してあるのに
      2段階認証をしていないのはユーザの選択だからってこと。

      • by Anonymous Coward

        脆弱性はあったし、2段階認証はiCloudを守らない、ってこと。

  • by Anonymous Coward on 2014年09月04日 18時51分 (#2670643)

    少年時代に過ごした街の名前とか、子供の頃飼っていたペットの名前、とかWikipediaをあされば出てくる程度の秘密だったり。
    ペットの名前はニンゲンです!とか。母方の旧姓は?とか。
    今回そこを衝かれたとか。

    • by Anonymous Coward

      秘密の質問が秘密でない質問しか選べないってのが問題かなと。
      ソーシャルハックに弱い秘密の質問が必須で無効化出来ないってのも問題だと思うんですよね。

      • by Anonymous Coward

        Wikipediaに項目があるセレブつーか、一般人でもTwitterなりFBなりSNSのログを漁れば出てくる情報だったりするからな。
        隙のあるターゲットはわんさかいるわけで、ソーシャルハックに弱い秘密の質問はマジでセキュリティホールでしかない。

      • by Anonymous Coward

        秘密の質問って、質問内容とは違うことを答えるのが自分の中では標準だわ

  • by Anonymous Coward on 2014年09月05日 12時16分 (#2671103)

    あるいは家庭用ゲーム機に脳を破壊されたか?

  • by Anonymous Coward on 2014年09月08日 9時16分 (#2672613)

    問題ないって宣言したもの勝ち 

    セキュリティーに理解のない一般大衆が大部分を占める以上は
    「どっかにAppleのせいじゃないって書いてあったよ」
    「ああ、そうなんだー」
    が殆どの場合成り立つ。

    その宣伝は信者が熱心にやってくれるしAppleは手間も金もかけず脆弱なサービスを維持できる

typodupeerror

普通のやつらの下を行け -- バッドノウハウ専門家

読み込み中...