Appleの2要素認証は、iCloudバックアップとフォストスリームを保護していない

今回のセレブ写真流出問題に関連してよく言われるアドバイスは、2要素認証の利用だ。これは良いアドバイスだが、それでもかのセレブたちは保護されなかっただろうし、Apple IDのメールアドレスとパスワードを盗むことに成功したハッカーに侵入された他のアカウントも保護されない。

Appleはかなり前から2要素認証を提供しているが、ハッカーらが悪用したシステムに関して欠落がある。iCloudバックアップは2要素認証で保護されておらず、Apple IDとパスワード〈だけ〉で新しいデバイスにインストールすることが可能だ。

もちろんこれは非常に大きな〈だけ〉ではある。メールアドレスとパスワードは、地球上のほぼ全サービスが標準提供している保護手段だ ― そしてひとたびハッカーがそれを手に入れれば、間違いなく困ったことになる。初期の証拠およびAppleの本件に関する声明によると、ハッカーは「秘密の質問」の予想、ソーシャルエンジニアリング、フィッシング、その他の「ターゲットされた」アタックによってパスワードを盗んでいる ― パスワードデータそのものがAppleから漏れたのではない。中でも、iPhoneのバックアップへのアクセスは、認証トークン(iTunesによって作られたファイル)によって行われ、マルウェアやフィッシングによって入手可能だ ― そのためにパスワードは不要。

しかし2要素認証は、Appleおよび多くのセキュリティー専門家によって単純なパスワード盗難からユーザーを保護する手段として薦められている。物理デバイスに送られてくるコードの入力を要求することによって、そのAppleアカウントにログインしているのが本人であることを確認する。

ところが、Appleの2要素認証は完全なものではない。多くのiCloudサービス、特にバックアップはカバーされていない。

実際、iCkoudで2要素認証が保護しているのは以下の3つのケースだけだ。

  • Appleアカウントを管理するために自分のApple IDにサインインする
  • 新しいデバイスから、iTunes、App Store、またはiBookstore で購入する
  • Appleから、Apple IDに関連するサービスを受ける

iCloudバックアップから新しいデバイスを復元する際には認証コードを要求されない。そしてそれは、ハッカーらが今回利用した「仕様」である。

ひとたびAppleアカウントのアクセスが可能になれば、ログインとパスワードを使い、ElcomsoftのPhone Password Breakerというアプリを利用して、iCloudバックアップを「復元(restore)」できる ― 写真その他のデータはエクスポートしてから選り分けられる。

ハッカーは実際にバックアップ全体をダウンロードしなくても ― あるいはそのアカウントにバックアップがなくても ― この時点でユーザーのフォトストリームにアクセスすることができる。これも2要素認証で保護されていない。

このため、写真を盗まれた人々がもし2要素認証を有効にしていたとしても、iCloudバックアップとフォストトリームはアクセス可能だった。

もしあなたがこれを、新たな脆弱性でAppleにとっても初めてのこと ― この抜け道に気付いていなかった ― だと思ったなら、それは間違いだ。AppleのiCloudバックアップが2要素認証で保護されていないという事実は1年以上前から知られている。

セキュリティー研究者のVladimir Katalov(Elcomsoftで働いている。なんと!)は、iCloudプロトコルに関する彼の発見を、iCloudのどの部分が2要素認証で守られていることを含め、昨年のHack In The Boxセキュリティーカンファレンスで発表している ― そして昨年5月にはすでにこの問題について記事を書いている。他にも、Ars TechnicaZDnet、そして今日またTUAWが報じている。

Appleが今すぐやるべき最善の策は、2要素認証をiCloudの全サービスに拡大することだ ― アカウントのリセットや新規デバイスからの購入だけでなく。復元あるいは新しいデバイスや場所からのログインに対して、別の形の認証を求めることは次の望ましいステップだ。Appleが2要素認証の範囲を拡大するという〈噂〉があることは注目に値するが、まだ実現していない。

ユーザーの立場では、あらゆる一般的アドバイスが依然として有効だ。パスワードは複雑に、他人と共有しない、IDにはプライベートなメールアドレス ― これも他人と共有しない ― を使う。メールに書かれたURLは可能な限りクリックしない。パスワードリセットの質問には、完全に間違ったあるいはランダムな答を使用する。

まだ2要素認証を使っていないユーザーは、使うことによって確実にセキュリティーのレベルが上がる ― ただし現時点ではパスワードを盗まれるとバックアップは保護されない。今回のハッキング事件に関する声明でAppleは、2要素認証によるアカウントセキュリティーの強化を推奨している。

Appleは、2要素認証拡大に関する情報提供の要求に対して、回答していない。

[原文へ]

(翻訳:Nob Takahashi / facebook


投稿者:

TechCrunch Japan

TechCrunchは2005年にシリコンバレーでスタートし、スタートアップ企業の紹介やインターネットの新しいプロダクトのレビュー、そして業界の重要なニュースを扱うテクノロジーメディアとして成長してきました。現在、米国を始め、欧州、アジア地域のテクノロジー業界の話題をカバーしています。そして、米国では2010年9月に世界的なオンラインメディア企業のAOLの傘下となりその運営が続けられています。 日本では2006年6月から翻訳版となるTechCrunch Japanが産声を上げてスタートしています。その後、日本でのオリジナル記事の投稿やイベントなどを開催しています。なお、TechCrunch Japanも2011年4月1日より米国と同様に米AOLの日本法人AOLオンライン・ジャパンにより運営されています。