MacRumorsによると、最近「iPhone(iPad、Mac)を探す」を使って遠隔からデバイスをロックし、身代金を要求する手口がハッカーの間で流行っているそうです。Twitterで検索すると、アカウントを盗まれたというツイートがいくつも見られます。それに困ったことに、この手口には2段階認証が意味をなさないのです。
「~を探す」サービスは、紛失や盗難時にiPhoneやコンピューターを回復するためのものです。その機能の1つとして、リモートからデバイスをロックすることが可能です。盗まれたiPhoneが使えなくなるため、盗難の抑止力となるはずでした。紛失したiPhoneに、「見つけてくれた人にはお礼として5千円差し上げます」「渋谷まで届けてください」などのメッセージを表示させることも可能です。
ただ、遠隔で操作できることが仇になる場合もあります。ユーザーネームとパスワードさえあれば、あなたが今手に持っているそのiPhoneに、どこかからでもロックをかけられるのです(2段階認証ではこれを防げません)。
では、ハッカーはパスワードをどうやって入手しているのでしょうか。MacRumorsによると、ハックされたユーザーはおそらく、Macとその他のサイトで同じパスワードを使い続けている可能性が高いそうです。つまり、サードパーティのサイトがハックされてパスワードが流出し、リストを入手したハッカーがiCloudアカウントに同じログイン情報を使ってサインインを試みていると考えれます。
下の写真は、あるTwitterユーザーがアップしていたものです。ハックされたMacの画面に、身代金要求のメッセージが表示されています。身代金は50ドル分のBitcoin。追跡が難しい仮想通貨が要求されているのがわかります。
私も「iPhoneを探す」がオンになっている自分のデバイスでこれを試してみました。iCloud.comを開き、自分のユーザーネームとパスワードでサインインします。サイトに2段階認証を求められますが、「iPhoneを探す」を選び、「紛失モード」をオンにしました。メッセージを入力して送信すると、いとも簡単にiPhoneがロックされ、メッセージが表示されました。
ここまで簡単とは!
これを防ぐにはどうしたらいいのでしょうか。MacRumorsでは、過去に1回でもiCloudパスワードをどこか別のサービスで使ったことがあるなら、パスワードをすぐに変えることをすすめています。
とはいえ「~を探す」サービスは、Appleの弱点であるカスタマーサービスのせいで、そもそも安全ではありません。ジャーナリストのMat Honan氏は、2012年にハックされたことで有名です。ハッカーがAppleのカスタマーサービスにHonan氏のふりをして電話をかけ、請求先住所とクレジットカード番号の下4桁で「本人確認」をパスし、パスワードを変更してしまったのです。
つまり(Appleがこの問題を解決し、カスタマーサービススタッフに新しいポリシーを厳しく教え込んでいない限り)「~を探す」をオンにしていると、ほんのわずかな情報だけでもあなたのデバイスの遠隔ロックが可能です。
必要な情報は、名前とアカウントネーム(公開されていることが多い)、クレジットカード番号の下4桁(レシートに印刷されていることが多い)、請求先住所(電話帳などで調べられる)だけ。つまり、あなたが何かを買ったレシートやレストランのチェックだけで、特別な知識やソフトウェアがなくともデバイスをロックできてしまうということを意味します。
以上の理由から、すべてのAppleユーザーは、本当に必要な場合を除き、「~を探す」を解除しておくのがよさそうです。繰り返しになりますが、iCloudパスワードをどこか別のサービスで使い回したことがあるなら、すぐに変更しましょう。
「~を探す」を解除するには、iPhoneで「設定」アプリを開き、自分の名前とアバターが表示された1番上の行をタップし、リストを下にスクロールします。デバイス名を選び、「iPhoneを探す」をタップして解除しましょう(iCloudパスワードを要求されます)。
「Macを探す」を解除するには、「システム環境設定」「iCloud」の順に選び、「Macを探す」の選択を解除します(パスワードを要求されます)。
「~を探す」サービスは、そのデバイスごとにしか解除できません。ですから、すべてのデバイスについてこの作業が必要になります。
「デバイスを探す」の代わりに、全デバイスにパスコードやパスワードを使用しましょう。さらにセキュリティーを高めるには、FileVaultを使えばハードドライブを暗号化できます。ただし、データのバックアップを忘れずに。
安全でユニークなiCloudパスワードを作り、『1Password』などサードパーティ製のパスワードマネージャーに保管しておきましょう。iCloudキーチェーンはおすすめしません。なぜなら、Appleのカスタマーサービスがあまりに容易にパスワードを渡してしまうからです。ブラウザのパスワード記憶機能もおすすめしません。
今回の件から学べるのは、パスワードの使い回しは本当に危険ということ。使い回すと、どんなに強いパスワードでも、セキュリティーが1番弱いサイトの強さしか持てません。
もしハックされたとしても、お金を払ってはいけません。それでデバイスを返してくれる保証はないのですから。すぐにAppleのカスタマーサービスに電話をしてください。
2017/9/21追記:その後、「デバイスを探す」をいろいろと試してみたところ、すでにパスコードで保護されているiPhoneは、「iPhoneを探す」でロックできないことがわかりました。しかし、パスコードが設定されていないiPhoneの場合、遠隔で新しいパスコードを設定することが可能です。
デバイスの安全を確保するには、iPhoneにはパスコードを設定し、iCloudパスワードは強力かつユニークにするなど、複数の対策が必要です。
やはり、「~を探す」の解除はおすすめします。Appleがカスタマーサービスのセキュリティーを強化した証拠がない限り、Macやパスコード未設定のiPhoneへの遠隔攻撃は避けられないからです。それでも、盗まれたデバイスを見つけられないリスクよりは遠隔攻撃のリスクのほうがマシという読者は多いようです。
Image: REDPIXEL.PL/Shutterstock.com
Source: MacRumors, Apple, The Washington Post, Twitter, iCloud.com, Wired, 1Password
Nick Douglas - Lifehacker US[原文]