みきしろ
画像元:Pixabay
こんにちは、みきしろです。
先日、AppleのクラウドサービスであるiCloudから、何人ものセレブの写真データが盗まれるという事件が発生しました。
このできごとに対してはAppleもいたく憤慨し、しっかりと調査を行ったようです。
画像元:Apple
40時間以上の調査の結果、システム上の欠陥を突かれたわけではなく、“ユーザ名、パスワード、セキュリティーのための質問を対象とした非常に的を絞った攻撃により、特定の著名人のアカウントが乗っ取られてしまった”そうです。
つまり、あくまで特定のセレブを対象にした攻撃であり、必ずしも誰にとっても同じ危険があるわけではありません。
“的を絞った攻撃”ってどんなもの?
では、“非常に的を絞った攻撃”とは、具体的にはどのようなものなのでしょうか?
Appleが詳細を発表しているわけではありませんが、一般的に次のような方法でこうした攻撃は行われます。
- メールアドレスを類推する、またはどこかからアドレスを入手する
- 簡単なパスワードの辞書攻撃を行う
- 別のサービスから流出したIDとパスワードを使う
などが有名なところですね。
画像元:Pixabay
メールアドレスに関しては、ある程度はしかたないでしょう。
(ログインID専用のメールアドレスを用意するという手もありますが)
しかし、簡単なパスワード(Password1234やP@ssword、1qaz2wsxなど)を設定していると、これらのありふれた簡単パスワードは攻撃者の辞書に登録されているため、総当たり的なチャレンジで簡単に突破されてしまいます。
また、パスワードを使い回していると、どこかのサービスから流出したもので簡単に(かつシステム的には正しく)ログインできてしまいます。
今回の事件では、おそらく被害者の多くがこうした甘いセキュリティになっていたことが考えられるんです。
対策方法はどうすればいいの?
Apple IDやiCloudサービスを安全に使うためには、“常に強力なパスワードを用い、2段階の認証を有効にしておくこと”が大切だとAppleは述べています。
画像元:Pixabay
まずパスワードですが、ありがちな簡単なパスワードを使わないのはもちろんですが、できれば暗記できないくらい複雑で強固なパスワードを設定するのがいいでしょう。
もちろん、そんなものを人の頭で覚えられるはずもないので、1Passwordのようなパスワード管理アプリを使うのがオススメ。
また、2段階認証もぜひ有効にするべきですが、実はこれだけで絶対にiCloudを安全に使えるというものではありません。
というのも、2段階認証は
- My Apple IDへのログイン(パスワードの変更などが可能)
- はじめてその端末からiTunes、App Storeでの買い物をするとき
などにしか求められないから。
単にiCloudサービスを使ったり、iCloud.comにログインする際には、2段階認証なしでIDとパスワードだけでログインできちゃうんですね。
アカウント自体の保護や買い物(というかおサイフ)はがっちりと守ってくれますが、できればiCloud上のデータにアクセスする際にも2段階認証を求めたいところです。
参照元:Apple (日本)/Apple Press Info - 著名人の写真に関する調査状況の報告
