2014年9月~2016年7月までの「iCloudハッキング」に関する10のストーリー
すべてのストーリーを見る
- iCloudハック
- セレブゲート
セレブゲートのiCloudフィッシング詐欺師、30人以上の有名人のアカウントにアクセスした罪を認め、懲役5年を求刑
2016年7月4日午前6時50分(太平洋標準時)
「セレブゲート」フィッシング攻撃の首謀者の一人が、300件以上のiCloudおよびGmailアカウントにアクセスした罪を認めた。これには「少なくとも30件」の著名人のアカウントも含まれている。この有罪答弁は、カリフォルニア州中部地区連邦検事局によって発表された。
シカゴとイリノイ州オーランドパークに居住するエドワード・マジェルチック(28歳)は、本日、ロサンゼルスの連邦地方裁判所に提出された刑事告発書に名前が記載されています。マジェルチックは、コンピュータ詐欺・濫用防止法(CFR)の重罪違反、具体的には保護されたコンピュータへの不正アクセスによる情報取得の罪状1件について有罪を認める司法取引に署名しました。
セレブゲート事件のもう一人の犯人、ライアン・コリンズも、懲役18ヶ月の求刑と引き換えに3月に罪を認めた。
拡大
拡大
閉じる
- AAPL社
- iCloud
- アップル社
- アップルID
- 二要素認証
不明なデバイスを使用した場合、5つのAppleログインが2要素認証で保護されないままになる
[youtube=https://www.youtube.com/watch?v=IKKZfZUqk3I]
著名人のiCloudハッキング事件を受けて、ティム・クックCEOがメールでのログインアラートと2要素認証の再導入を約束してから4ヶ月以上が経過しましたが、Appleのログイン情報5件は依然としてシステムで保護されていません。Hackers of NYの創設者ダニ・グラント氏は、ブログ記事で各脆弱性を動画で解説しました。
グラント氏は、未知のMacを使ってiMessage、iTunes、FaceTime、App Store、またはAppleのウェブサイトにログインする場合、2要素認証は不要であることを示した。グラント氏によると、5つのサービスのうち、未知のデバイスを使ってログインしたことを通知するメール通知を送信したのは1つだけだった… 拡大拡大閉じる
- AAPL社
- iOS
- iPhone
- iCloud
- アップル社
Phone Breaker iCloudハッキングソフトウェアが2FAをサポートし、WhatsAppとiWorkファイルへのアクセスが可能に
エルコムソフトの「Phone Breaker」ソフトウェアは、法執行機関で使用されているだけでなく、iCloudハッカーが有名人のヌード写真にアクセスするために使用していたとも考えられていますが、このソフトウェアがアップデートされ、2要素認証を使用するアカウントに対応しました。MacWorldの報道によると、WhatsAppのメッセージファイルやiWorkのドキュメントにもアクセスできるようになりました。
見た目ほど恐ろしいものではありません。このソフトウェアは、攻撃者がApple IDとパスワード、そして信頼できる2台目のデバイスか復旧キーのいずれかを入手した場合にのみ使用できます。フィッシング攻撃はこれらの情報を入手する最も一般的な方法なので、強力で固有のパスワードを使用し、Appleを装ったメール内のリンクをクリックしない限り、安全です。しかし、このソフトウェアを使用すると、iPhoneのバックアップ全体または選択したデータをiCloudから直接ダウンロードできるため、侵害されたデバイスを手動で操作するよりもはるかに簡単です。
しかし、セキュリティ意識の高い人は、アカウント回復コードをどのデバイスにも保存しないという Apple のアドバイスに従う必要があります。ソフトウェアは、Mac と外部ドライブの両方でアカウント回復コードを自動的にスキャンして検索します。
Apple ID の回復コードをまだお持ちでない場合は、必ず取得してください。ハッキングの試みが失敗しても、アカウントがロックアウトされる可能性があり、回復キーがなければ、再びログインする方法はありません。
Engadget経由
- AAPL社
- iOSデバイス
- iPhone
- アップルニュース
- iCloud
Appleは「セレブゲート」事件の6ヶ月前にiCloudのブルートフォース攻撃の脆弱性を認識していた
昨年の開発者センターの欠陥を発見したとしてアップルから功績を認められたソフトウェア開発者は、有名人のヌード写真がアクセスされる6カ月以上前に、その写真を入手するために使われた可能性のあるiCloudの脆弱性についてアップルに知らせていたと述べている。
Daily Dotによると、イブラヒム・バリック氏は3月にAppleに対し、「Find My Phone」の脆弱性について報告しており、この脆弱性はiCloudアカウントへのブルートフォース攻撃を可能にするとのことだ。この脆弱性は、著名人のアカウント、あるいはiPhoneのバックアップ全体にアクセスするために使われた手法の一つだった可能性が指摘されている… 拡大拡大閉じる
- AAPL社
- iOS
- iPhone
- アップルニュース
- ティム・クック
アップルはプライバシー認証を推進するための継続的な取り組みについて議会に報告
ポリティコは、有名人のヌード写真事件で懸念が高まったことを受けて、アップルが議会の委員会に自社製品のセキュリティとプライバシーについて説明したと報じている。
Appleは、ユーザーの健康とフィットネスを追跡する新製品を発表してから1週間後、プライバシーとセキュリティに関する新たな懸念に対処するため、幹部を連邦議会に派遣した[…]
議会関係者3人によると、同社の最高技術責任者バド・トリブル氏と健康関連製品マネージャーのアフシャド・ミストリ氏が、強力な権限を持つ下院エネルギー・商業委員会に報告した。
Appleは、ユーザーデータの保護への取り組みを明確に伝えることに注力しています。ティム・クックCEOは昨日、この問題に関する書簡を同社のウェブサイトに掲載しました。また、iOS、OS X、そしてクラウドサービスのセキュリティ認証情報に特化した新しいウェブページも追加しました。
iCloud から有名人のヌード写真を入手するために使われた方法は、サービス自体の根本的な弱点ではなく、フィッシングと弱いセキュリティ質問の組み合わせであったことは今では明らかであるが、Apple は認識が事実と同じくらい、あるいは事実以上に重要であることを痛感しているはずだ。
写真提供:Wikipedia
- AAPL社
- iOSデバイス
- iPhone
- アップルニュース
- iCloud
iCloudハッキング事件以降、アメリカ人の3分の1がオンラインセキュリティを強化した
セキュリティ会社トレソリットの委託によりユーガブが1,000人以上の米国消費者を対象に行った調査によると、回答者の3分の1強がiCloudのハッキングを受けてオンラインセキュリティを強化する措置を講じていることが判明した。
最も多かった回答は、パスワードをより強力なものに変更することで、13%がオンラインサービスごとに異なるパスワードを作成し、6%が2段階認証を有効にしていました… 展開展開閉じる
- AAPL社
- iPhone
- アップルニュース
- フェイスブック
- マックブック
オピニオン:有名人のハッキング事件後、依然として存在する脆弱性と、何をすべきか
流出したセレブのヌード写真については、依然として多くの未知数があります。Appleは「iPhoneを探す」の脆弱性を利用してパスワード総当たり攻撃が容易だったという説を否定したようですが、一部のコメンテーターは、その文言が曖昧だったため、実際に侵入経路の一つになった可能性があると指摘しています。(Appleは、正しいパスワードが必要だったのであれば、これは侵入ではないと主張しているのかもしれません。)
しかし、一つ確かなことが浮かび上がってきました。それは、一人のハッカーがiCloudに広範囲にアクセスしたのではなく、複数の人物が、おそらく複数の異なる手法を用いて、時間をかけて写真を収集したということです。フィッシングがその一例であることは間違いありません。Appleから送られたとされるメールの中には、技術に詳しくない人でも十分に納得できるものもありました。しかし、iCloudを含むほぼすべてのオンラインサービスに共通する最大の弱点の一つ、つまりセキュリティ質問を悪用した可能性もほぼ確実です。
[更新:ティム・クック氏は、これらが使用された2つの方法であることを確認しました] …
拡大
拡大
閉じる
- AAPL社
- iOS
- iPhone
- アップルニュース
- iCloud
流出した写真のメタデータ分析は、iPhoneの完全なバックアップが取得されたことを示唆している
ケイト・アプトンの流出写真のメタデータを分析した法医学コンサルタント兼セキュリティ研究者は、これらの写真は法執行機関向けのソフトウェアを使用して入手されたようだと Wired誌が報じている。このソフトウェア「Elcomsoft Phone Password Breaker(EPPB)」は、iCloud IDとパスワードを入手すれば、iPhone上の全データの完全バックアップをダウンロードできる。
ハッカーがiBruteを使ってユーザーのiCloudユーザー名とパスワードを入手できれば、被害者のiCloud.comアカウントにログインして写真を盗むことができます。しかし、Elcomsoftのツールを使ってユーザーのデバイスを偽装した場合、デスクトップアプリケーションを使ってiPhoneまたはiPadのバックアップ全体を1つのフォルダにまとめてダウンロードできると、フォレンジックコンサルタント兼セキュリティ研究者のジョナサン・ジアルスキ氏は述べています。これにより、侵入者は動画、アプリケーションデータ、連絡先、テキストメッセージなど、はるかに多くのデータにアクセスできるようになると、ジアルスキ氏は指摘します。
拡大
拡大
閉じる
- AAPL社
- iCloud
- FBI
- リンクトイン
- 連邦捜査局
FBIがiCloudの有名人ハッキング疑惑を捜査、Redditの「容疑者」が無実を主張
テレグラフ紙の報道によると、FBIは現在、iCloudハッキング疑惑の捜査を主導しており、このハッキングにより複数の著名人のヌード写真が入手されたという。FBI広報担当のローラ・アイミラー氏は次のように述べた。
FBIは、コンピュータ侵入と著名人に関する資料の違法公開に関する疑惑を認識しており、現在対応中です。現時点ではこれ以上のコメントは不適切です。
「Find My Phone」サービスの脆弱性により、攻撃者がブルートフォース攻撃で有名人のiCloudアカウントにアクセスできた可能性があると示唆されています… 展開展開閉じる
- AAPL社
- iOSデバイス
- iPhone
- アップルニュース
- iCloud
携帯電話を探すサービスの脆弱性と弱いパスワードが、有名人の写真流出の疑惑を説明するかもしれない
The Next Web は、「Find My Phone」サービスの脆弱性により、攻撃者がパスワードを総当たり攻撃して有名人の iCloud アカウントにアクセスできた可能性があると報じています。
「iPhoneを探す」サービスに発見されたとされる脆弱性により、攻撃者はこの手法を用いて、ロックアウトや標的への警告なしにパスワードを繰り返し推測することが可能になったようです。最終的にパスワードが一致すると、攻撃者はそれを使ってiCloudの他の機能に自由にアクセスできるようになります。
この脆弱性を悪用するツールがGithubにアップロードされ、2日間放置された後、Hacker Newsで共有されました… 展開展開閉じる
