Mat Honanの iCloud アカウントのハッキングから学ぶ4つのレッスン
Mat Honan の iCloud アカウントのハッキングから学ぶ4つのレッスン
※ この内容は、Mac 専用セキュリティソフトの老舗である フランス Intego 社のブログから転載されたものです。
この一週間、ライター、Mat Honan に、思いもよらないことが起きました。
誰かが彼の iCloud カウントに侵入し、彼のiPhone、iPad、および MacBook Air を消去し、 iCloudアカウントとリンクしていた Google アカウントを削除したのです。
当初 このハッカーは、Honan のアカウントに総当たり攻撃で侵入したと想像されました。しかしさらに調べると、ハッカーは Honan になりすまして Apple のサポートを騙し、パスワードをリセットさせたことが分かりました。
パスワードは強力なほどよいことは周知の事実ですが、今回の事件はパスワー ドの善し悪しに関係ありません。
世界一のパスワードを使っても誰かがあなたや、サイトの関係者あるいはサービス自体を騙してあなたのパスワードを入手してしまえば、パスワードの意味はなくなってしまいます。
強力なパスワードを使う意義が薄れると言っているのでありません;強力なパスワードは、ほとんどの攻撃からあなたを守ってくれます。しかし、パスワードに全財産を預けるべきでもありません。
当然、次のようないくつかの疑問が浮かぶでしょう:
- 最悪のデータ損失事故から回復するために、何をしておくべきでしょうか?
- こうした攻撃から身を守る手段はあるのでしょうか?
- 似たような被害を自分が受ける確率はどれくらいでしょうか?
Honan は、この酷い体験を通して最初の疑問に対する答えに行き着きました: 定期的に複数の場所にバックアップを作成する、ということです。
バックアッ プをクラウドだけに依存してはいけません。
ウェブサイトは完全防護ではありま せん。
その会社が倒産することもあるし、自然災害だって起こります。
Honan は、ハッキングされたアカウントを今回は復旧できそうですがいつでもうまく いくとは限りません。
別の場所にバックアップしてなかった1年かけて作成した データは失われてしまうでしょう(リモート消去が完了しなかったため、すべて 失われなるまでには至らなかったことが、彼に取って不幸中の幸いでした)。
2番目の疑問ですが、まずこの攻撃は、あなたの重要なデータが保管されているすべてのオンラインアカウントで起こりうると考える必要があります。
データの内容は連絡先、予定表、すべてのあるいは特定のファイルのバックアップ、 またはソーシャルネットワーク、銀行、オンラインストアなど、他のアカウントへのリンクかも知れません。これは、iCloud かも知れないし、Google かも知れないし、他の多くのサービスでありうるでしょう。
パスワードはなりすましや他のハッキングで盗まれる可能性がありますから、 パスワードさえかけてあれば安全だなどと思わないことです。今回のようなケー スは何重もの保護が威力を発揮する機会です。またデータを複数の場所にバッ クアップする必要性については、以前書いたことがありますね。ではその他に何ができるか、少し書いてみましょう
- 可能な限りできるだけオンラインデータを暗号化する。
アカウントに侵入されても、見つけたデータを利用されるリスクを減らせます。 - アカウントをリンクさせる必要が本当にあるのか、よく考える。
アカウント同士をリンクさせるのは便利ですが、フィッシングやハッキングでアカウントに侵入した誰かに、リンク先のアカウントにも侵入される可能性を無視できますか?
ハッカーがあなたの他のアカウントに侵入しようとした時、超えるべき障壁を一つでも設置しておいた方が安全だと思いませんか? - 可能な限り本人認証に2種類以上の要素を組み合わせた方式を採用する。
本人認証のために、ハッカーに盗まれる可能性があるパスワードなどの情報だけに依存せず、電話とかドングルとかあなただけが所有する物による「物理的認証」も必要になれば、アカウントへの侵入は困難になります。それでも Honan に起きたデータ消去は防げなかったでしょうが、彼の Google アカウントは削除されなかったはずです。 - 他人が知らない電子メールアドレスを使う。
あなたが特定のアカウントで使っている電子メールアドレスがハッカーに分からなければ、 侵入は非常に困難になります。
そして最後に、あなたにも同じようなことが起こりうるでしょうか?
Honanの 説明によれば、彼に起きた事件は一般的なものとは言えません。
ほとんどの人に とって彼のようにパスワードを盗まれてデータを破壊されるより、携帯電話を 盗まれる危険性のが高いでしょう。
今回の件は、標的攻撃の典型です。
今回の事 件を受けて、Apple がリモート消去の条件を強化してくれれば幸いです。
操作を誤って一二回クリックしただけで、データを破壊できるべきではありません。
今回の Honan のストーリーは、まだ終わっていません。その結果として、どんな 変化が起き、Appleがどう対応するのか、またハッカーがサポート担当者に Honan のパスワードをリセットさせた詳細な手順が明かされるまで注目し続けたいと思います。
By Lysa Myers on August 6, 2012
出典:Intego Security Blog
Twitter:@IntegoSecurity
ウイルスバリア X6
(ウイルス対策、不正アクセス対策、情報漏洩対策、iPhoneやiPad・iPodTouchのスキャンにも対応)
・ウイルスバリア X6 の特設ページを見る
・製品詳細を見る
インターネットセキュリティバリア
(ウイルスバリア X6 に加え、迷惑メール対策やバックアップツールなどが加わった総合セキュリティソフト)
・製品詳細を見る
Intego製品のアップデート情報などを弊社のツイッターアカウントでも公開しています。
Twitter:@act2com
Twitter:@act2support