マット・ホーナン(Mat Honan)米Gizmodo元記者が金曜夜ハックされた事件の詳しい話を現勤務先ワイヤードに発表し、ホラーの全容が明らかになりました。
なんとアップルの技術サポートは電話でクレジットカード下4桁と請求先住所を言うだけでハッカーを本人認証してパスワード再発行してたのです!
しかもこのクレカの情報はアマゾンに電話すればちょちょっと手に入るんですってよ?
これって誰にでも起こりうることなので、話を少し整理しておきましょう。
ハッカーが使った手口
マットはハッカーの「Phobia」なる人物と連絡をつけ、訴えないと約束し、全容を聞き出しました。
今回の僕を襲った事件は、アップルとアマゾンはじめ一部カスタマーサービス・システムが抱えるセキュリティの致命的欠陥を浮き彫りにした。
アップル技術サポートはハッカーに僕のiCloudアカウントへのアクセスを許し、アマゾンの技術サポートは僕のiCloudアカウントへのアクセスを許した。
アマゾン技術サポートは僕の一部個人情報を渡した。クレジットカード番号の一部データだが、これがまさにアップルが情報リリースする際、認証に使うものだった。
アマゾン的にはクレジットカード下4桁なんてそんな重要でもないしウェブに表示しても構わない、という認識。これがアップル的にはID認証に使えるほどセキュアな情報という認識で、この認識のズレこそが今のハイテク業界全体の情報管理方針が内包する欠陥であり、今後クラウドコンピューティング時代、端末が相互に繋がる時代を迎える我々に忍び寄る悪夢でもある。(ソース:Wired)
これはアップル技術サポートに週末2度確かめた話なのだけど、誰かのAppleIDにアクセスしたかったら登録メールアドレスと請求先住所、登録クレジットカードの下4桁の番号があれば済むらしいんだ。 はっきり聞いたから間違いない。AppleCareの技術サポートに2度目に電話したとき、窓口の男性がこう話していた。「うちで何か認証するのに必要なものと言っても、それで全部ですね」(ソース:Wired)
流れを整理しますと...(参考:CNN)
1. アマゾンに電話をかけ、自分のアカウントに新しいクレジットカードの番号を加えたい、と伝える。するとアマゾンは氏名、請求書送付先住所、メールアドレスを聞いてくるが、それだけ(ワイヤードが偽のクレジットカード番号でこの手口を試してみたら、2度ともそうだった)。
2. クレカの情報を加えたら、電話を切ってまたかけ、別のアマゾン窓口の人に「アカウントに入れなくなった」と言う。氏名、請求書送付先住所、クレジットカード番号を尋ねてくるので、先般加えた偽クレカの情報を言う。これで新しいメールアドレスをアカウントに追加してもらえる。
3. アマゾンのサイトに行き、パスワード再発行の要求を新規メールアドレスに送る。これでターゲットのアマゾンアカウントに入れるので、そこでクレジットカードの番号を見る。アマゾンはセキュリティのため番号は大方隠しているが、下4桁は表示される。
4. アップルの技術サポートに電話をかけ、マットの@me.comのパスワードのリセットをお願いする。セキュリティ保護の質問の答えは全くわからない。するとアップルはクレジットカードの下4桁の番号と請求書送付先住所を聞いてくる。つまり、このふたつがあれば本人に成りすましてAppleアカウントと.Meのメールアカウントに入れる。
5. .Meのメールアカウントを使ってGmailアカウントのパスワードをリカバリする。
あとはなんだってやり放題。マットはTwitterが乗っ取られ、過去7年分のGmail、3つのアップル端末に貯めたデータも全部消されてしまいました。南無三...。
今日ワイヤードが同じ手口確かめてみたら...本当に入れたそうです。つまりアマゾンやペイパルで使うのと同じクレジットカードをアップルでも使ってる人は誰でもこの近年稀に見る死ぬほどシンプルなソーシャルハックの標的になり得る、ということ。怖いですね。
アップルは何もしなかった
もっと嫌なのは、アップルの技術サポートはこれを知りながら、改善する気配もないこと。セキュリティ手順の引き締めを検討中かどうかワイヤードは取材したんですが、アップルはコメントを拒否したそうですよ。
いやあ...ブルートフォースアタックでパスワ解読されたのではないことは知ってましたが、ここまでだったとは...驚きです。セキュリティ方針を少し見直せば塞げる穴だし、それで恐ろしいハックから顧客を守れるのに、対策を検討する気配もないなんて...理解不能ですよ。
アマゾンの穴は塞がった模様
ワイヤードはアマゾンの方も侵入を再現できたと書いてます、それも広く入手できる情報(非常に限定された情報ですが)を使って。悪者がその気になればクレジットカードはどれでも標的になり得る、みんな残高が空になるまで使い込まれるリスクはある、ということです。新住所を送付先に指定するにはカード番号を全部入力し直さないといけないので、それはできないのだけど、考えるだけでゾッとしますよね。
アップルの技術の人は何ヶ月も前からこの状況に気づいていた、と言ったようですが、アマゾンがこの抜け穴に前々から気づいていたかどうかは分かりません。
一応アマゾンはCNNに「報告を受け、その穴は昨日のうちに塞ぎました」と話しています。ワイヤードにも最初はノーコメントだったんですが、続報では「火曜アマゾンはカスタマーサービスにセキュリティ方針変更の通達を出した。今後は電話でメールアドレスやクレジットカード情報の変更には応じないことになった」と報じてます。ふひ~良かった...。
自分の身を守る方法
マットのようなケースは稀だと思いますが、同じような目に遭うリスクはみんな抱えてます。Phobiaのソーシャルハックの手口から身を守る一番の対策は各々のアカウントを完全に切り離すことでしょうね。
アカウントを切り離せ・パスワード回復用メールが別の使用中アカウントに届かないようにする。
・2つのアカウントで同じクレジットカードを使わない。
・複数のサービスに同じメールアドレスを使わない。
・毎日使うネットサービス同士ガッシリ繋がってる連携を経つ。
・「Find My Mac(Macを探す)」や「Find My iPhone(iPhoneを探す)」機能はOFFに!
・アマゾンのクレジットカードは全部削除した方がいいかも...アマゾンから取材に返事がくるまで...(←この穴は塞がったみたいです)
その他、普段からやれるセキュリティ対策・グーグルの「2段階認証プロセスを使用する」をONにする。
・外付けドライブにデータのバックアップをとる。
・クレジットカード下4桁の番号が刷り込まれたレシートは捨てない。
アップルはCNNに社内のプロトコルが守られていなかった、というようなこと言ってるようですが...そのうちアップル、ワイヤードのマットから何か新しい情報が入りましたらアップデート入れます。ワイヤード日本版にそのうち翻訳が出ると思いますけど、いやーとにかく今夏最大のホラーですよ...。
UPDATE: アップルが、電話でAppleIDパスワード変更の要請がきても応じぬようサポート担当に通達を出しました(ソース:Wired)。
[Wired]関連:iCloudハック事件の手口がガード不能すぎてヤバイ | fladdict
Kyle Wagner(原文/satomi)
