iDICT

先日、「あなたのパスワードは大丈夫!?iCloudでパスワードを大量に試して乗っ取るハッキングツール”iDICT”登場 」として当ブログで紹介した”iDICT”。このiDICTではAppleのAccount Lockout制限（パスワード入力を複数失敗するとアカウントをロックするセキュリティ対策）と、二段階認証を回避して、パスワードを何回〜何百回でも試せるようにするツールだった。このツールでは更にテキストファイル辞書に世界的にユーザが設定しやすいと思われるパスワード500個が羅列されており、それらを試すことで、もしユーザがApple IDに簡単なパスワードを設定していた場合は容易に破られてしまうというものだった。そしてredditやTwitter上では、実際にこのツールを使って間違いなくハッキングができたという成功報告も上がっていた。しかしようやくAppleもこのセキュリティホールに対策を施した。iDICTを開発したハッカーたちもAppleが修正を行ったことを認めた。ただ、Apple製品が普及す […]

※2015/1/6現在、このセキュリティホールはAppleによって修正されている。詳細はこの記事参照。iCloudのセキュリティ問題で、ハリウッドセレブや歌手などのプライベートフォトが流出したことは記憶に新しいが、その件でAppleは更にiCloudのセキュリティを強化した。しかしセキュリティというものはイタチごっこだ。Appleは前回のセキュリティ問題で、2重認証やパスワードの入力回数の制限をつけるなどの対策をしたが、本日GitHubのソースコードにアップされたとあるツールでは、Apple IDに対してパスワードの試行回数制限をなくし物量でパスワードを類推しログインするというやり方ができてしまう。この恐るべき攻撃ツールの名前はiDICT（GitHubのここからダウンロード可能）。その攻撃の原理は非常に簡単で、Brute-Force（ブルート・フォース）と呼ばれる方式で、500個の典型的なパスワードが入った辞書（GitHubからダウンロード可能）を使って任意のiCloudユーザに対してパスワード […]