この8月末から、海外の有名芸能人のプライベート写真が流出している事件が、メディアを騒がせています。これらの芸能人の個人情報は当初、匿名方式の画像掲示板「4Chan」上に投稿されており、投稿者は、最も高額な入札者にプライベート写真や動画を販売するとしていました。この有名人のプライベート情報流出については、iPhone など Apple社製品から使用できるクラウドサービス「iCloud」上から漏えいした、つまり iCloud が何らかの方法でハッキングされたことが推測されています。
しかし Apple社の声明によれば、iCloud のサービスに対して、大規模なハッキングが発生していた可能性は低いようです。Apple社では、今回の情報漏えいは iCloud のシステム自体へのハッキングではなく、各利用者アカウントのパスワードや「秘密の質問」などの認証情報を特定する方法での不正ログインによるもの、としています。
iCloud 利用時の認証にも使用される「Apple ID」の乗っ取り事例に関しては、6月9日のブログ記事で触れているように、以前から発生しています。今回の iCloud からの情報漏えいの原因であろうパスワード特定の方法について、トレンドマイクロの Global VP of Security Research である Rik Ferguson は以下の可能性を指摘しています:
- 簡単なパスワード設定:
被害にあった iCloud 利用者が全員、簡単に推測できるパスワードを使用しており、攻撃者は簡単にパスワードを破れた。簡単なパスワードへの攻撃方法として、パスワードに使用されやすい文字列のリストを用いてログイン試行する「辞書攻撃」や、存在を把握している複数のアカウントに対してパスワードを固定してログイン試行する「リバースブルートフォース」といった攻撃方法がある。 - 「パスワードリセット」機能の悪用:
被害にあった iCloud 利用者の電子メールアドレスを攻撃者が攻撃前に入手しており、かつ、利用者が「二要素認証」である 2ステップ確認を設定していないことがこの攻撃の前提となる。この場合、パスワードリセットのためには従来の手法である「秘密の質問」(Apple ID では「セキュリティ質問」)が使用される。しかし、有名人の場合には特に、例えば「最初に通った学校は?」や「最初に飼ったペットの名前は?」のような一般的な質問の答えは SNS などインターネット上で意識せず公開してしまっている可能性がある。 - iCloud に関連する別アカウントの乗っ取り:
攻撃者は、セキュリティやパスワードが比較的弱い iCloud につながった別のアカウント、例えば iCloud から送信されるパスワードリセットのメール受信に使用した Webメールアカウントなどを乗っ取り、そこから最終的に iCloud を侵害した。 - パスワードの使い回し:
アカウントリスト攻撃の台頭により、複数のサービスで同一のパスワードを使用していると、1つのサービスについて情報漏えいすると他のサービスでもアカウント侵害が発生する。iCloud 利用者が、すでに攻撃を受けた、もしくは受けやすい他のサービスと同一のパスワードを iCloud でも使用していた場合、攻撃者は iCloud に簡単にアクセスできる。また、流出した個人情報を簡易検索するサービスや窃取された個人情報の販売数過多により、窃取された情報の価格は下落している背景があり、攻撃者にとってはアカウントとパスワードのリストが入手しやすくなっている。 - フィッシング詐欺によるアカウント情報の窃取:
標的にした iCloud 利用者にフィッシングメールや SNS でのダイレクトメッセージを送信し、偽のログインページに iCloud の認証情報を入力させ詐取する。これは複雑なハッキングをするのと同じぐらいの効果がある。実際、Apple ID など Apple 関連の情報を狙うフィッシング詐欺サイトは 2014年に入り急増し、2014年第2四半期には初めて 15,000件を突破している。
今回の iCloud 事例から、我々が学べることは何でしょうか。日本では 2013年から、アカウントリスト攻撃に代表されるオンラインサービスへのアカウント侵害が明らかになっています。特に 2014年第2四半期には 61万件以上のアカウントが侵害を受けたと公表されています。乗っ取られたアカウントからの詐欺メール送信や高額チケットの不正購入など、利用者にとってより具体的な被害も増えています。不正ログインによるアカウント侵害の被害に遭わないようにするため、トレンドマイクロでは以下の対策を推奨します:
- セキュリティ強化方法を積極的に利用
利用しているオンラインサービスからセキュリティを強化する方法が提供されていれば、積極的に有効にしましょう。すでに多くのサービスが二要素認証、二段階認証などの強化された認証方法を提供しています。例えば、Apple ID では「2ステップ確認」が利用できます。確かにログインの際に少し面倒になるかもしれませんが、あなたのデジタルライフの中心となっているサービスが不正利用されれば、もっと面倒になることは間違いありません。 - パスワードの使い回しをやめる:
複数の Webサイトやオンラインサービスで同じパスワードを使用するのが得策でないことは、これまで何度も発生しているアカウントリスト攻撃によるアカウント侵害が証明しています。Webサイトごとに別々のパスワードを設定して下さい。パスワード管理の負担が大きすぎると感じられる場合には、パスワード管理ソフトなどの負担軽減策を導入することをお勧めします。 - 「秘密の質問」の設定方法を変える:
パスワードリセットの際など本人確認のために使用される「秘密の質問」に関しては、その答えが本当に安全かを考えて下さい。「安全」というのは、その質問に答えられる唯一の人物はあなただけという意味です。その答えが本当のことである必要はありません。あなたが記憶できるものであれば何でも良いのです。「最初の学校は」「最初のペットは」のような、一般的な質問に対する「本当の答え」は SNS などネット上のやりとりの中で無意識に公開してしまっている可能性があります。 - オンラインサービス上にどのようなデータが保存されているか把握する:
デジタルデータはあなたが「削除」したとしても、その存在が完全に消去はされていない可能性があります。自分が使用しているオンラインサービスを把握し、バックアップやシャドーコピーが保存されているのか、またそれらがどのように管理されているかを確認して下さい。まさに今回の事例であったように、モバイル端末上で削除した情報が、オンラインサービス上には残っている場合もあります。 - 総合的なセキュリティ対策ソフトを導入する:
どんなに注意してパスワードや「秘密の質問」を扱ったとしても、あなたをだますフィッシング詐欺サイトや、あなたの PCやスマホに侵入する不正プログラムに、それらの認証情報自体を取られてしまっては元も子もありません。個人情報を狙う脅威からあなたを防護する総合セキュリティ対策ソフトの導入は対策の大前提です。
■トレンドマイクロの対策
パスワード使い回しは危険ですが、複数のサイトに対し異なるパスワードを設定、運用するのはインターネット利用者にとって大きな負担となります。トレンドマイクロのパスワード管理ツール「パスワードマネージャー」を使用することにより、パスワードの複雑性を保つと同時に複数サイトですべて異なるパスワードを使用する運用上の負担を軽減することができます。また、「ウイルスバスター クラウド」は不正プログラム検出をはじめ、フィッシング詐欺など不正サイトのアクセスブロックなど、総合的な脅威対策機能を提供しています。
参考記事:
by Rik Ferguson (Global VP Security Research)
翻訳:品川 暁子(Core Technology Marketing, TrendLabs)