編集者注:マット・ホナン氏は、ハッカーがどのようにして彼のアカウントにアクセスし、デバイスのデータを消去したかについて、詳細な説明を投稿しました。Appleの広報担当者ナタリー・ケリス氏はMacworldに対し、「Appleはお客様のプライバシーを重視しており、Apple IDのパスワードをリセットする前に複数の確認手続きを求めています。今回のケースでは、お客様の個人情報を入手した人物によってお客様のデータが侵害されました。さらに、Appleの社内ポリシーが完全に遵守されていなかったことが判明しました。お客様のデータを確実に保護するため、アカウントのパスワードリセットに関するすべてのプロセスを見直しています」と述べています。
未来は今ここにあります。私たちのデバイスは相互接続され、あらゆるものがあらゆるものにアクセスできるという素晴らしい環境は、まさに素晴らしいものです。しかし、そこには負の側面もあることが分かっています。あらゆるデバイスが相互接続されるということは、攻撃者が私たちのあらゆるデータを、それがどこにあろうとも、容易に侵害してしまうことを意味します。Wiredのマシュー・ホーナンは、この週末、ハッカーが彼のデバイスにアクセスしただけでなく、すべてのデータを消去し、かなりの混乱を引き起こしたという痛ましい体験を通して、このことを思い知りました。
ホナン氏がブログで報告したように、彼は強烈なハッキングを受けた。攻撃者は複雑なアルゴリズムを用いてホナン氏のアカウントに総当たり攻撃で侵入したわけではない。ハッカーはAppleのテクニカルサポートラインに電話をかけ、ホナン氏になりすまし、ホナン氏が自ら選択したセキュリティ質問への回答を盗み出したと報じられている。これはまさに、AppleがiCloudアカウントの安全性を確保するためにすべてのiCloudユーザーに尋ねる質問である。(この件についてAppleに問い合わせたが、回答は得られていない。)[追記:ホナン氏はTwitterで、ハッカーはセキュリティ質問への回答を提供しておらず、別の方法でアカウントに侵入したと述べている。]
これは「ソーシャルエンジニアリング」と呼ばれる手法で、セキュリティチェーンの中で最も脆弱とされる「他人」を悪用するものです。電話の向こう側の相手に自分がアカウントの所有者だと信じ込ませることができれば、世界で最も安全なパスワードでさえも破られてしまう可能性があります。
TwitterとGmailのアカウントが乗っ取られ、iPad、iPhone、Macのデータが消去されただけでも、Honan氏(ちなみに、彼は元Macworld編集者です)にとっては深刻な事態です。Honan氏の場合、事態をさらに悪化させたのは、1年以上分のデータのバックアップが全く取れていなかったことです。
私たち全員が学ぶべき教訓は、セキュリティは多面的であるということです。データを安全に保つために実行できる対策は数多くあり、新しいサービスに登録したり新しいデバイスを追加したりする前に、検討すべき重要な質問がいくつかあります。
パスワードを保護してください!
どんなパスワードでも(特に十分な時間や意図があれば)破られる可能性があります。しかし、安全なパスワードは依然として第一の防御線です。誕生日や子供の名前といったありふれたデータを使うと、あなたのFacebookプロフィールにアクセスできる人なら誰でも推測できてしまいます。しかし、過去のパスワード漏洩事例から、多くのユーザーが依然として「1234」や「password」といった意味不明なパスワードを使用していることが明らかになっています。こうしたパスワードは、多くの場合、パスワードを全く設定しないのと同じくらい効果がありません。
優れたパスワードには2つの重要な特性があります。まず、前述のパスワードとは異なり、推測が困難です。つまり、誰かがパスワードを漏らすように仕向けるか、ブルートフォース攻撃と呼ばれる手法、つまり正しいパスワードを見つけるまであらゆるパスワードを試す攻撃を仕掛ける必要があります。
第二に、良いパスワードは覚えやすいものです。つまり、書き留めなくても思い出せるパスワードです。書き留めなければならないということは、そのパスワードのセキュリティが既に損なわれていることを意味するからです。最良のパスワードは、あなたの頭の中にのみ保存されます。
そのため、xdK92z! のようなランダムな英数字のパスワードを作成するように勧められるかもしれませんが、覚えにくく、コンピューターが比較的簡単に解読できるため、それほど安全ではないことがわかります。パスワードをかなり簡単に覚えられるようにするテクニックを使用して、パスワードに非常に複雑なものを追加できます。完全な文章を使用します。これにより、コンピューターがブルート フォースによってパスワードを推測することが桁違いに難しくなります。特に、パスワードが文字ごとにハッキングされる映画のシーンとは対照的に、ハッカーはパスワード全体を一度に決定する必要があるためです。「Six dogs ate schnitzel in a haberdashery」のようなパスワードでは、ランダムに 1 つの正しい単語を選択するか、比較的短い文字の組み合わせを選択するだけでなく、アルゴリズムは 7 つの一意の単語を同時に正しく推測する必要があります。
ニーモニックでつなげられるランダムな単語の連続(「correcthorsebatterystaple」など)であっても、ランダムなパスワードを多数使用するよりも安全です。
パスワードは再利用できません。
ご存知の通り、複数のサイトで同じパスワードを使い回すのは避けるべきです。OS Xに内蔵されているキーチェーンなど、複数のパスワードを管理できるソフトウェアソリューションはありますが、自分でも簡単に管理する方法があります。基本的なパスワードはそのままにして、利用するサイトやサービスに合わせて特別なパスワードの前後に特別な文字列を追加するのです。
例えば、サイト名の最初と最後の文字をパスワードと組み合わせて使うとします。「Six dogs ate schnitzel in a haberdashery」は、Amazonでは「ANSix dogs ate schnitzel in a haberdashery」、eBayでは「EYSix dogs ate schnitzel in a haberdashery」となります。こうすることで、ハッカーがあなたのAmazonパスワードを入手して、その情報を使って他のオークションに入札することがかなり難しくなります。(もちろん、パターンが複雑であればあるほど、保護効果は高まります。)
セキュリティに関する質問
パスワードに関するアドバイスをすべて守ったとしても、セキュリティを保証するには十分ではありません。多くの攻撃者はソーシャルエンジニアリングの手法を使います。世界で最も強固なパスワードであっても、カスタマーサポートの電話対応担当者を巧みに操る魅力的なハッカーの餌食になる可能性があります。
近年、一部のウェブサイトで、いわゆるクリエイティブなセキュリティ質問が増えていることに、おそらくお気づきでしょう。「母親の旧姓」が使い古されるにつれ、銀行などのセキュリティを重視するウェブサイトは、ますます難解な質問に目を向けるようになりました。配偶者と出会った都市、一番年上の姪の名前、最初に住んだ場所の通り名などです。中には、自分でカスタム質問を作成できるサイトもあります。これは役立つかもしれませんが、2年後、「ハワイ旅行でなぜ一晩中笑っていたのか」という質問の答えが突然思い出せなくなる時が来ます。
過去には、ハッカーがオンラインフォームから必要な(そして発見可能な)回答を提供することで、サラ・ペイリンやパリス・ヒルトンの受信トレイにアクセスした事例もありました。追加の人間を介す必要はありませんでした。経験則として、誰かがセキュリティ質問の答えを推測したり、Googleで検索したりできる場合、その質問はあまり安全ではないと言えるでしょう。
これは顧客にとって難しい状況です。最初の直感は、セキュリティ質問に偽の答えを使うことかもしれません。理論上、勇敢な検索者でも推測できないはずですから。しかし、「xdK92z!」がパスワードとして最悪であるのと同様に、これもセキュリティ上は劣悪です。なぜなら、これもまた、覚えておかなければならないデータ(この場合は架空のデータ)だからです。
一つの選択肢として、セキュリティの質問に対する答えと偽のパスワードを組み合わせるという方法があります。例えば、お母さんの旧姓がエレンなら、「エレン シュニッツェル 雑貨屋」といった具合です。一番年上の姪なら「クレア シュニッツェル 雑貨屋」といった具合です。このような安全対策があれば、少なくともサポート担当者は、なりすましによるパスワードリセットの要求に応じる前に、少し躊躇するはずです。しかし残念ながら、Appleがセキュリティポリシーを抜本的に見直し、2要素認証を導入したり、顧客のデータのリセットを許可する状況や期間を制限したり、あるいはその両方を実施しない限り、iCloudアカウントの安全性はサポート担当者の扱い方次第です。
例えば、Googleは二段階認証をオプションとして提供しています。これを有効にすると、パスワードでログインした後、Googleから携帯電話にSMSでコードが送信されます。そのコードを入力することで初めてログインできます。こうすることで、攻撃者がアカウントに侵入するには、パスワードを解読して携帯電話を盗む必要があります。そして、オタクの多くは強盗には向いていないことは周知の事実です。
選択肢を検討する
AppleはMountain Lionのリリースに伴いiCloudを強力に推進しており、今後さらにその姿勢を強めていく可能性が高い。しかし、どのデバイスからでもすべてのドキュメントやその他の情報にアクセスできるのは素晴らしい一方で、脆弱性につながる可能性もある。
たとえば、「iPhoneを探す」サービスでは、iPhone、iPad、Macの位置を特定できるだけでなく(自分の居場所を知られたくない場合は潜在的なセキュリティリスクとなる可能性があります)、サービスにログインすると、それらのデバイスからデータをリモートで消去することもできます。
このサービスの良い点は、物理デバイスを盗まれた人がデータにアクセスするのを防ぐことができることです。その一方で、誰かがアカウントに侵入し、リモートでデータを消去した場合、少なくともデバイスの復元に時間を費やすことになります。さらに深刻なのは、ホナンさんのように、バックアップが古くなっていたり、バックアップが全くなかったりする場合です。
もちろん、サメを心配するからといって泳ぎに行かない理由にならないのと同じように、その機能を使わない理由にはなりません。しかし、軽々しくサービスに登録する前に、そのサービスがもたらす影響についてよく考える価値はありますし、そのような機能にアクセスできるアカウントが可能な限り安全であることを確認することは間違いなく重要です。
ディスクをバックアップする
言うまでもなく、すべてのユーザーは電子機器上のデータの最新のバックアップを、できれば複数保存しておく必要があります。データ損失は様々な理由で発生しますが、セキュリティ違反もその一つです。万が一、自宅が浸水したり火災に見舞われたりした場合に備えて、リモートオンラインバックアップは有用ですが、唯一のバックアップをオンラインサービスに委ねるのは賢明ではありません。もしホナン氏のハッカーが特に悪意を持っていたなら、ホナン氏のiOSデバイスのiCloudバックアップを簡単に削除できたはずです。
バックアップについてはこれまで何度も記事を書いていますが、簡単にまとめると、Time Machineを使うか、CrashPlanのようなサービスに登録するか、少なくとも重要なデータはDropboxに保存するということです。もちろん、どんなオンラインサービスも万全ではないので、万が一に備えて、データのローカルコピーを少なくとも1つは保存しておくのが賢明です。
慌てないで
マット・ホナン氏に起こったことは、一言で言えば、ひどい出来事でした。私たちにも、あなたにも、こんなことが起きてほしくありません。しかし、ホナン氏が被害に遭うきっかけを作ったのはAppleのサポート担当者の責任かもしれませんが、データ損失の責任は(ホナン氏もきっと同意するでしょうが)、完全に彼自身にあります。
適切なバックアップがあれば、データについて心配する必要がなくなります。
その安心感に、強力なパスワード、強力なセキュリティ対策、有効にするサービスに関する慎重な検討を組み合わせれば、新しいオンライン サービスに登録したり、ファイルをクラウドに保存したりするたびに不安を感じる必要はありません。
午前11時34分(太平洋標準時)に全体を更新し、Honan氏のアカウントがセキュリティ質問によって侵害されたわけではないことを反映しました。午後5時13分(太平洋標準時)にAppleからのコメントとHonan氏自身の投稿へのリンクを追加して更新しました。
[上級編集者のダン・モレンとスタッフライターのレックス・フリードマンは、「schnitzel haberdashery」をパスワードとして使用しないよう強く勧めます。なぜなら、そのパスワードはすでに公開されているからです。 ]
