2014年6月2日(米国時間)から開催された Apple による開発者向けイベント「2014 Worldwide Developers Conference(WWDC)」で、多くの発表があり、Apple の開発者や熱狂的なファンを喜ばせました。しかし、喜んだのは彼らだけではありません。不純な動機を持った人々もこれらの発表を歓迎しました。つまり、サイバー犯罪者たちです。
2014年5月下旬、一部のサイバー犯罪者が実際に Apple ID のアカウントを狙っているという具体的な事例が確認されました。Apple サポートコミュニティの投稿には、ユーザの端末がロックされ、「Oleg Pliss」という人物から、端末のロックを解除するために 100米ドル(2014年6月6日時点、約1万円)を支払うよう要求するメッセージを受け取ったという多くのユーザの訴えが寄せられています。本物の Oleg Pliss は、Oracle の開発者です。彼の名前はサイバー犯罪者に無断で利用されたものと考えられます。この攻撃によって最も被害を受けたと思われるのは、オーストラリアのユーザでした。
この攻撃は、どのようにして行われたのでしょうか。iCloud の機能「iPhoneを探す」が悪用されたものと思われます。被害者の Apple ID の認証情報を持つサイバー犯罪者は、この機能を提供する Apple の Webサイトにログインすることで、ユーザに「脅迫状」を送信したり、iPhone をロックしたりすることができます。
Apple ID の認証情報がどこから流出したのかは、はっきりしませんが、複数の可能性が存在します。例えば、弊社は昨年から、Apple ID の認証情報を収集しようとするフィッシングサイトの存在を確認しています。また、この攻撃では、過去の情報漏えいで流出したパスワードや、ソーシャルエンジニアリングの手法が利用された可能性もあります。
ユーザはどのようにしてこの攻撃の被害から回復することができるのでしょうか。1つの方法は、iTunes からバックアップを復元することでしょう。しかしながら、大半の iPhone のユーザは、バックアップを取ることに対して非常に無頓着です。また、iCloud から復元を試すこともできますが、今回の攻撃で不正利用された Apple ID のアカウントを使用してログインすることになります。ユーザのアカウントが不正利用されると、どんな場合においても、復旧は困難なものになります。
弊社は、Apple ID を窃取しようとする攻撃が、今後さらに増加すると予想しています。例えば、認証情報を窃取するために、不正な DNS設定のされたルータが「Man-In-The-Middle(MitM、中間者)攻撃」に利用された事例も確認しています。フィッシング攻撃も今後増えると予想されます。ユーザがより多くの情報を Apple ID に保存すればするほど、窃取された Apple ID の価値は上昇します。例えば、2014 WWDC で発表された「iOS 8」の新機能である「HealthKit」や「HomeKit」は、直接的、間接的に関わらず、個人情報がさらに Apple ID と結びつくことになるでしょう。
モバイルの不正アプリや脆弱性を競合他社への武器として使用したい Apple をよそに、モバイルの脅威のすべてを簡単に対処したり、排除することはできないことも忘れてはいけません。
 |
それでは、ユーザには何ができるのでしょうか。弊社からの提案は、保護が必要な他の認証情報とほぼ同じです。
- パスワードの再利用をしない
- 安全なパスワードを使用する
- 可能な場合、2要素認証といったセキュリティ機能を有効にする
これらの手順のうちいくつかは、PC上での実行に比べると、モバイル端末上では困難となります。例えば、モバイル端末では、「パスワードマネージャー」のようなパスワード管理ツールを使用しないと長いパスワードの入力は困難かもしれません。しかし現在、Apple ID といったモバイル端末の認証情報は、サイバー犯罪者にとって価値のある対象であることが明らかなため、たとえこのような困難があっても上記のような対策を実施する必要があります。
参考記事:
by Warren Tsai (Product Manager)
翻訳:木内 牧(Core Technology Marketing, TrendLabs)