Havebin

Iphone

オピニオン:有名人のハッキング事件後も残る脆弱性と対策の必要性c

Havebin
qlamk
0 Comments
オピニオン:有名人のハッキング事件後も残る脆弱性と対策の必要性c
オピニオン:有名人のハッキング事件後も残る脆弱性と対策の必要性c

流出したセレブのヌード写真については、依然として多くの未知数があります。Appleは「iPhoneを探す」の脆弱性を利用してパスワード総当たり攻撃が容易だったという説を否定したようですが、一部のコメンテーターは、その文言が曖昧だったため、実際に侵入経路の一つになった可能性があると指摘しています。(Appleは、正しいパスワードが必要だったのであれば、これは侵入ではないと主張しているのかもしれません。)

しかし、一つ確かなことが浮かび上がってきました。それは、一人のハッカーがiCloudに広範囲にアクセスしたのではなく、複数の人物が、おそらく複数の異なる手法を用いて、時間をかけて写真を収集したということです。フィッシングがその一例であることは間違いありません。Appleから送られたとされるメールの中には、技術に詳しくない人でも十分に納得できるものもありました。しかし、iCloudを含むほぼすべてのオンラインサービスに共通する最大の弱点の一つ、つまりセキュリティ質問を悪用した可能性もほぼ確実です。

[更新: ティム・クック氏は、これらが 2 つの方法であったことを確認しました] 

セキュリティ質問は、導入当初はよくある問題、つまりパスワードを忘れてしまうことに対する、かなり分かりやすい解決策でした。9to5Macの 読者なら、パスワードマネージャーを使ってサイトごとに強力で固有のパスワードを設定しているでしょう。しかし、一般の人はそうではありません。ほとんどすべてのサイトで同じパスワードを使うか、無理やり違うパスワードを使い分けて、結局半分は忘れてしまうかのどちらかです。

セキュリティに関する質問が役に立たない理由

もちろん、問題は、アカウントの正当な所有者がセキュリティ質問を使ってパスワードを暴露したりリセットしたりできるのであれば、誰でもそうなってしまうということです。もし自分で質問を選べて、親友でさえ答えを推測できないような難解なものに設定できれば問題にはならないのですが、実際にはそうはいきません。

iCloud がその好例です。iCloud ではセキュリティに関する質問を 3 つ選択する必要がありますが、それぞれ 6 つの質問から選択する必要があります (便宜上、3 つの質問すべてを 1 つの図にまとめました)。

ここでは個人情報を明かして具体的に答えるつもりはないので、架空の例を挙げますが、ほとんどの人はこれらの質問の半分にも答えられないと思います。例えば、高校時代に好きな歌手やバンドは1人だけでしたか、それとも何度も変わりましたか?初めて映画館で観た映画は覚えていますか?初めて飛行機に乗った時、どこに行ったか少しでも覚えていますか?

したがって、実際には、私たちに開かれている質問の選択肢は、最初に思われるよりもさらに少ないのです。

残りの質問のうち、いくつが複数の人に知られているでしょうか?夢の仕事に就いているなら、きっとたくさんの友達にそのことを話したことがあるでしょう。子供の頃のニックネームは、同じ学校に通っていた人全員に知られており、今でも同じニックネームで呼ばれているなら、今の友達全員に知られているかもしれません。

知られていないもののうち、あなたを知っている人がグーグルで検索できるものはいくつありますか?実際、あなたのFacebookページで見つけられるものはいくつありますか?

有名人なら、状況は千倍も悪くなります。なぜなら、数え切れないほどのインタビューで、初めて飼ったペットや初めて買った車の車種など、自分に関するありとあらゆるトリビアを明かしているからです。いや、実際、これらの質問のほとんどがそうです。たとえ自分で質問に答えていなくても、人々が発掘したトリビアを投稿するファンサイトは数多くあります。

つまり、セキュリティに関する質問は、私たちのほとんどにとって最悪の保護手段であり、有名人にとってはまったく役に立たない手段なのです。

二要素認証

まあ、そうじゃないかと思うかもしれないが、iCloud は、最近の多くのオンラインサービスと同様に、2段階認証という代替手段を提供している。もちろん私も使っていて、注意深い人なら、私が上記のセキュリティ質問に回答した方法は、2段階認証をオフにしたいふりをすることでした。

2ファクタ認証についてご存じない方のために説明すると、2ファクタ認証では、サービスにアクセスする際にワンタイムコードの入力が必要です。このコードは、アプリ(Google Authenticatorなどが有名です)によって生成されたり、テキストメッセージで送信されたりすることがあります。iCloudでは2ファクタ認証が提供されていますが、すべてのサービスで必須というわけではありません。特に重要なサービスでは必須ではありません。

数日前、iPhoneにワインをこぼしてしまい、壊してしまいました。そこで昨日、Apple Storeに行って、定額修理オプションを利用して交換品をもらいました(少なくともiPhone 6を買ったら、eBayで新品を売ることができるので)。店内では、まずiCloudを使って古いiPhoneをデバイスリストから削除し、次にiCloudバックアップを新しいiPhoneに復元する必要がありました。知らないデバイス(Apple Storeで買ったMacBook)からiCloudアカウントにアクセスしたにもかかわらず、どちらの作業でも2要素認証は必要ありませんでした。

[更新: Apple は、デバイスが復元されたときや誰かが不明なデバイスから iCloud にログインしたときに、プッシュ通知を使用してユーザーに警告します。]

Appleは何をすべきでしょうか?

セキュリティと利便性のバランスは常に重要です。iCloud をはじめとするあらゆるサービスを、辞書に載っていない256文字のパスワードを必須にし、毎月のパスワード変更を義務付け、2要素認証、あるいは3要素認証を必須にすることで、極めて安全にすることは可能です。

そのような極端なことは明らかに現実的ではないので、保護と使いやすさの間で適切なバランスを取る必要があります。

Appleはこのことをよく理解しています。iPhone 5sにTouch IDを導入したのも、まさにこのためです。パスコードを全く使用していない人や、タイムアウト時間を長く設定している人が多すぎて、窃盗犯がアクセスするのに十分な時間を与えてしまっていたのです。

Touch IDは秋に発売される新型iPadに搭載される予定で、Macにも搭載されるのは時間の問題でしょう。しかし、Appleがすべきことがあと4つあると私は考えています。

まず、2要素認証をすべてのデフォルトオプションとし、不明なデバイスからのiCloudへのアクセスやiCloudバックアップからの復元といった重要な機能では必須とすべきです。もちろん、最悪のシナリオ(例えば、iPhoneしか所有していないAppleデバイスを紛失したり壊してしまったりした場合など)への対応策は必要になるかもしれませんが、2台以上のデバイスを所有している場合、2台目のデバイスによる認証を必須にしない理由はないでしょう。

[更新:Appleはユーザーに2要素認証の使用を「積極的に推奨」する予定]

次に、セキュリティ質問をドロップダウンから選択するのではなく、ユーザーが自分で選択できるようにします。そうすれば、自分だけが知っている質問を選び、必要に応じて難解にすることができます。

3つ目に、ACLUが本日( Gizmodo経由)投稿した非常に優れた具体的なアイデアがあります。標準カメラアプリにプライベートモードを組み込むというものです。もし誰かが…機密性の高い写真を撮りたい場合、トグルスイッチを切り替えるだけで、その写真は自分のスマートフォンにのみ保存され、iCloudのバックアップからは除外されます。

4 番目に、 Business Insiderが指摘した脆弱性を修正します 。つまり、特定のメール アドレスが Apple ID であることを試そうとする人に対して確認を行わないようにします。

その間、あなたが取ることができるステップ

その間に、自分自身のセキュリティを強化するためにできることはいくつかあります。

まず、利用しているオンラインサービスやウェブサイトごとに強力で固有のパスワードを設定していない場合は、数時間かけて修正しましょう。時間がないなら、自分で作ってください。オンラインサービスは頻繁に侵害を受けており、ハッカーが一つのサービスのログイン情報を大量に入手したら、まず他のサービスのログイン情報で試すことになります。複数のサイトで同じログイン情報を使用している場合、問題はハッキングされるかどうかではなく、いつハッキングされるかです。

大量の強力なパスワードを記憶するのは不可能ですが、パスワード マネージャーを使用すればそれほど苦労することはありません。当社のガイドでは、知っておくべきすべてのことを説明します。

次に、独自のドメインをお持ちの場合は、パスワードだけでなくメールアドレスもそれぞれ異なるものにすることで、オンラインログインのセキュリティをさらに強化できます。私はオンラインサービスにアクセスするために独自のドメインを使用しており、@の前に好きな文字を設定できます。すべてのメールが同じ場所に届くため、サービスごとに異なるメールアドレスを使用しています。パスワードマネージャーを使えば、意味不明なメールアドレスも意味不明なパスワードも、それほど面倒ではありません。

3つ目に、どうしても必要な場合を除いて、実際のデータは使用しないことです。パスポートや銀行で生年月日を聞かれた場合は、実際の生年月日を入力する必要がありますが、ほとんどのウェブサイトではそうではありません。私は、実際の生年月日を知る必要のないウェブサイトでは、いつも偽の生年月日を使用しています。こうすることで、個人情報の盗難リスクを軽減しています。偽の生年月日を入力することに慣れきっているので、本当に正しい生年月日が必要な数少ないサイトにアクセスするときは、特に注意が必要です。

4つ目に、セキュリティに関する質問の種類が限られているからといって、必ずしも正直に答えなければならないわけではありません。答えは質問と全く関係がなくても構いません。記憶術と呼ばれる記憶術があれば大丈夫です。

例えば、初めて飼ったペットの名前を聞かれたら、「ペット=撫でる=最初のガールフレンド」という記憶術を使えるかもしれません。あるいは、母親の旧姓=メイド=マリアン(これは私の名前ではありません。私が勝手に作ったものです)。

もちろん、セキュリティと利便性のバランスは重要です。iPhoneが川に落ちて2段階認証に失敗し、セキュリティ質問の答えが思い出せないことに気づくのは避けたいものです。しかし、よくあるセキュリティ質問へのリンクをいくつか覚えておくのに30分ほど費やすだけで、セキュリティ質問が本来あるべき場所、つまり歴史に埋もれるまで、セキュリティを大幅に向上させることができます。

最後に、他の人に見られたくない写真を撮る場合は、iPhone や Wi-Fi 搭載のカメラは使用せず、昔ながらの非接続カメラを使用してください。

havebin.com を Google ニュース フィードに追加します。 

FTC: 収益を生み出す自動アフィリエイトリンクを使用しています。詳細はこちら。

Havebin

Havebin

This author has no bio yet.

You May Also Like