Pages

2014年6月11日水曜日

モスクワの2人組ハッカーが“Oleg Pliss”の名でのApple端末ハイジャックを自供

iCloud

ロシアの当局がiPhone、iPad、およびMacの所有者を襲った“ランサムウェア”攻 撃に関して、モスクワの2人組から自供を引き出すことに成功したようです。

先月、ほぼオーストラリア限定で、多くのiPhone、iPad、そしてiMacユーザが端 末を“Oleg Plissに端末を乗っ取られ”、そのアクセスを取り戻 すためにハッカーから身代金を要求される事件が起きました。

Locked iMac. Image source: Sydney Morning Herald
Locked iMac. Image source: Sydney Morning Herald

この問題の原因はどこにあるのか、なぜ南半球の限定された地域で起きたのか、 ハッカーがどうして端末をロックするためにiCloudアカウントを乗っ取り 「iPhoneを探す」を悪用しようと思い立ったか、などについて過激な想像がなさ れました。

今日、そのいくつかの問いの答が明らかになりました。

ほとんどの被害者がオーストラリアおよびニュージーランドに限定されていたこ とから、私は、この攻撃が端末をロックするためにAppleの「iPhoneを探す」の 脆弱性を悪用したわけではないと予想したわけですが、その考えは正しかったの です。同様に、ハッカーがAppleのサーバに侵入し、ユーザのiCloud IDとパス ワードを盗んだわけでもありませんでした。

実際の攻撃は、もっと泥臭いものでした。

ロシア内務省のウェブサイトの公式見解によれば、攻撃は無防備なApple ユーザを騙してiCloudログイン情報を入力させるための単純なフィッシングサイ トから始まりました。

情報を入手してしまえば、ハッカーが実際のiCloudインタフェースにログイン し、端末を盗まれたり置き忘れたときにやるように、その端末にメッセージを表 示すると共に端末をロックしてしまうのは簡単なことです。

報道によると“イワン”と呼ばれる23歳と匿名の17歳の2人組は、新しい端末で 乗っ取ったiCloudアカウントに接続し、ミュージック、ムービー、TV番組などを ダウンロードしたことも自供しています。なお、警察によるハッカーのアパート の捜索で、犯罪に使われたコンピュータ、SIMカード、そしてスマートフォンが 押収されました。

Sydney Morning Herald紙のレポートによれば、ハッカーは、キャッ シュマシンから被害者のお金を引き出そうとした際、CCTVカメラに写るというヘ マをしでかしたそうです。

今後のiCloudアカウントのハッキング対策


フィッシングは、今後も増え続け、ネットバンク、PayPal、あるいはソーシャル メディアサイト同様に、iCloudアカウントも攻撃対象として一般化するでしょう。

iCloudアカウントのハッキングによって端末をロックされ、身代金を要求される ことがないように、2ステップ確認を導入してください。

Apple 2FA

2ステップ確認のような二要素認証(あるいは二段階認証)には、ユーザ名とパ スワード以上の情報が必要となるため、ハッカーが他人のアカウントや端末を 乗っ取ることが困難になります。また端末自体に送付されるワンタイムパスワー ド(OTP)の入手も必要になります。

さらに、14桁のリカバリーキーを設定することもできます。このキーは、印刷し て安全な場所に保管しておきましょう。Appleでは、アカウントへのアクセスを 復旧したり、端末へのアクセスが不能になったりパスワードを忘れてしまった場 合に備え、リカバリーキーを保管しておくことを薦めています。

また、オンラインアカウントを守る対策だけでなく、フィッシング攻撃にも常に 注意してください!



About Graham Cluley

Graham Cluley is an award-winning security blogger, researcher and public speaker.
He has been working in the computer security industry since the early 1990s, having been employed by companies such as Sophos, McAfee and Dr Solomon's. He has given talks about computer security for some of the world's largest companies, worked with law enforcement agencies on investigations into hacking groups, and regularly appears on TV and radio explaining computer security threats.

Graham Cluley was inducted into the InfoSecurity Europe Hall of Fame in 2011, and was given an honorary mention in the "10 Greatest Britons in IT History" for his contribution as a leading authority in internet security.

Follow him on Twitter at @gcluley. View all posts by Graham Cluley →

Posted on June 10th, 2014 by

intego Mac専用 インターネットセキュリティ 2014 最新版
http://www.act2.com/integox8/

0 件のコメント:

コメントを投稿

注: コメントを投稿できるのは、このブログのメンバーだけです。