あなたのパスワードは大丈夫!?iCloudでパスワードを大量に試して乗っ取るハッキングツール”iDICT”登場

  • ブックマーク
  • Feedly
  • -
    コピー

※2015/1/6現在、このセキュリティホールはAppleによって修正されている。詳細はこの記事参照。

iCloudのセキュリティ問題で、ハリウッドセレブや歌手などのプライベートフォトが流出したことは記憶に新しいが、その件でAppleは更にiCloudのセキュリティを強化した。しかしセキュリティというものはイタチごっこだ。

Appleは前回のセキュリティ問題で、2重認証やパスワードの入力回数の制限をつけるなどの対策をしたが、本日GitHubのソースコードにアップされたとあるツールでは、Apple IDに対してパスワードの試行回数制限をなくし物量でパスワードを類推しログインするというやり方ができてしまう。

iDICT_iCloud_Cracking_Password_Brute-Force

この恐るべき攻撃ツールの名前はiDICT(GitHubのここからダウンロード可能)。その攻撃の原理は非常に簡単で、Brute-Force(ブルート・フォース)と呼ばれる方式で、500個の典型的なパスワードが入った辞書(GitHubからダウンロード可能)を使って任意のiCloudユーザに対してパスワードクラックをかけるという方式で、Appleのセキュリティをかいくぐって500回のパスワード入力を可能にしてしまうという。つまり、あなたがその500個の典型的なパスワードの中に入っているパスワードを使っていたとしたら、あなたのiCloudは乗っ取られてしまうということだ。

もちろん、このツールの現在の攻撃成功率は小さく無視してもいい範囲かもしれないが、ハッカーたちは更に複雑で大きい辞書を開発することだって考えられる。つまりこのセキュリティホールは一定の危険度でiCloudユーザのセキュリティを脅かす可能性があるのだ。

当然ながら、Appleはこれに対して対策をするとは思われるが、その前にiCloudを利用しているあなたも上記の辞書(ここからダウンロード可能、テキストファイルだ)の内容を見て、500の典型的なパスワードを使っていないかチェックした方がいい。

またiCloudやその他のサービスに簡単なパスワードを使っている人は、この機会にパスワードは長く複雑にし、類推されないようなものにした方がよいだろう。

Gizmodo(英語版)では特に以下のパスワードを使っていないかすぐにチェックした方がいいと警告を出している。

Password1
P@ssw0rd
Passw0rd
Pa55word
Password123
ABCabc123
Devil666
Fuckyou2
ILoveYou2
Blink182

ちなみに元Appleのスティーブ・ジョブス時代の幹部として有名なGuy Kawasaki氏も、Facebookで上記のGizmodo(英語版)の記事をシェアし、警告を発している。

38

記事は以上。

Visited 180 times, 1 visit(s) today
  • ブックマーク
  • Feedly
  • -
    コピー

この記事を書いた人