パスワード

昨日、fastlane.toolsの創業者、Felix Krause氏が、自身のブログで、iOSの脆弱性を突くApple IDパスワードを盗むフィッシング詐欺の手法とその防御方法を公開しました。

どんなにセキュリティが堅牢なシステムでも、その最大の弱点はそれを使っている”人”にあるといわれています。iOSデバイスは脱獄しなければ比較的セキュリティ性能が高いといわれていますが、そのためにはパスワードやパスコードによる保護の設定をしたり、強化しなくてはならない、といわれています。しかしなぜiOSのパスワードやパスコードを設定・強化しなければならないのでしょうか？Computer Worldが8つの理由を挙げているのでご紹介します。

FBIはAppleに昨年12月にカリフォルニア州サンバーナーディーノで発生した銃乱射テロ事件の犯人の所有物とされたiPhone 5cをクラックして情報をとりだした方法を明らかにすることを望んでいないが、AppleもそのことによってFBIを起訴することはないと明確に意思表示をしている。

先日、「あなたのパスワードは大丈夫!?iCloudでパスワードを大量に試して乗っ取るハッキングツール”iDICT”登場 」として当ブログで紹介した”iDICT”。このiDICTではAppleのAccount Lockout制限（パスワード入力を複数失敗するとアカウントをロックするセキュリティ対策）と、二段階認証を回避して、パスワードを何回〜何百回でも試せるようにするツールだった。このツールでは更にテキストファイル辞書に世界的にユーザが設定しやすいと思われるパスワード500個が羅列されており、それらを試すことで、もしユーザがApple IDに簡単なパスワードを設定していた場合は容易に破られてしまうというものだった。そしてredditやTwitter上では、実際にこのツールを使って間違いなくハッキングができたという成功報告も上がっていた。しかしようやくAppleもこのセキュリティホールに対策を施した。iDICTを開発したハッカーたちもAppleが修正を行ったことを認めた。ただ、Apple製品が普及す […]

※2015/1/6現在、このセキュリティホールはAppleによって修正されている。詳細はこの記事参照。iCloudのセキュリティ問題で、ハリウッドセレブや歌手などのプライベートフォトが流出したことは記憶に新しいが、その件でAppleは更にiCloudのセキュリティを強化した。しかしセキュリティというものはイタチごっこだ。Appleは前回のセキュリティ問題で、2重認証やパスワードの入力回数の制限をつけるなどの対策をしたが、本日GitHubのソースコードにアップされたとあるツールでは、Apple IDに対してパスワードの試行回数制限をなくし物量でパスワードを類推しログインするというやり方ができてしまう。この恐るべき攻撃ツールの名前はiDICT（GitHubのここからダウンロード可能）。その攻撃の原理は非常に簡単で、Brute-Force（ブルート・フォース）と呼ばれる方式で、500個の典型的なパスワードが入った辞書（GitHubからダウンロード可能）を使って任意のiCloudユーザに対してパスワード […]

ほぼ全てのプラットフォームでクラウド上で書類の共有や整理が可能なevernote。2013年3月3日に大規模な不正アクセスが行われたようで、登録している会員全員がパスワードを再設定する必要があるとのこと。手順は、1. Mac・PC・スマホ等ブラウザから、evernote.comにサインインする2. 新しいパスワードの入力が促されるので、新しいパスワードを入力する3. 他で使っているアプリ等でもパスワードの変更が促されるので、2で変更したパスワードを入力する以上で再利用が可能だ。evernote、iCloud、dropbox、box等、クラウドストレージサービスが続々出てきており、便利に使える分、ネット（データセンター）上にデータを置くわけで、そこに不正アクセスが行われればデータが盗み出されたり改竄されないとも言い切れない。とはいえ、プロフェッショナルによって守られたデータセンターの方が、個人のPCやスマホ（特に脱獄してSystem Passwordを変更していないiPhoneなど）、または自宅の […]