※ この内容は、Mac 専用セキュリティソフトの老舗である フランス Intego 社のブログから転載されたものです。
Appleからまたパスワード関連のニュースが届きました! ここ一週間では、まず iOS 6.1.3 でパスコード問題が修正されましたが、直後に
続いて Apple ID に二段階認証が採用されると、すぐにこの新しい認証方式を採用していないアカウントに、最小限の情報を持つ攻撃者がアクセスできる可能性がある悪用可能な脆弱性が見つかりました。
このニュースが出回ると、Appleは速やかにパスワードリセット機能を無効にしました。しかし、それでもユーザが同様の問題に曝される脆弱性が残ることが分かると iForgot ページ全体を閉鎖しました。
iForgot のパスワードリセットでは、ユーザ認証に6ヶの手順が必要とされますが、ユーザの電子メールアドレスと誕生日を入力すると、攻撃者がそのアカウントにアクセスできる URL が生成されるのです。
これによりセキュリティの質問に対する回答など、それ以上の認証をバイパスすることができます。
これこそ、ソーシャルネットワークサイトに誕生日を登録することに対してセキュリティ研究者が過敏に反応する理由の一例です。
それだけでは意味をなさない情報の断片も、簡単に収集できる状態であれば標的にされる可能性が高まるのです。犯罪者がやる気になれば、多くの人のこのような情報を集めて回るのは難しくありません。その上、自らこうした情報を一カ所で公開していればそれは「自由にお持ちください」と言っているようなものです。
こうした問題の解決策の1つは、セキュリティの質問に偽の情報で回答する作戦と似ています。例えば、ウェブサイトで誕生日を登録する際、本当の誕生日ではなく同じ月の別の日にちを登録するわけです。もちろん、登録した日付を覚えておく必要はあります。
この記事の執筆時点では、Apple がすでにこの問題を修正しましたので今後の心配は要りません。この問題が実際に悪用されたかどうかは不明ですが、不安があればパスワードを変更することをお勧めします。
そして、日本でも使用可能になったらすぐに二段階認証を設定するべきでしょう。
Posted on March 25th, 2013 by Lysa Myers
出典:Intego Security Blog
Twitter:@IntegoSecurity
Mountain Lion 対応!!
15年に渡りMac専用として進化し続けて来たのはIntego 社の Mac 用セキュリティソフト だけです。
Intego 製品についてもっとよく調べる
Intego製品のアップデート情報などを弊社のツイッターアカウントでも公開しています。
Twitter:@act2com
Twitter:@act2support
0 件のコメント:
コメントを投稿
注: コメントを投稿できるのは、このブログのメンバーだけです。