米WiredのシニアライターであるMat Honan氏が、攻撃者にiCloudアカウントを乗っ取られた。高度の技術やツールを駆使したのではない。攻撃者はAppleCareに電話をかけ、言葉巧みにAppleのスタッフからパスワードを引き出したのだ。

先週の金曜日の夕方、突然Honan氏のiPhoneが電源オフになった。電源コードをつなぐとセットアップ画面が現れた。iCloudのバックアップから復元しようとしたが、iCloudにログインできない。それから5分ぐらいの間に、iPhoneに続いてiPadとMacBook Airが次々にワイプ(データ消去)され、Gmailにもアクセスできなくなった。さらにHonan氏のTwitterページで、何者かが人種差別的はツイートをしてアカウントが閉鎖された。

まず最初に攻撃者がソーシャルエンジニアリングを駆使してiCloudアカウントへの侵入を成功させたことが判り、先週末の時点では電話1本で破られるiCloudのセキュリティが議論になった。しかし攻撃の詳細が見えてくると、これはAppleのカスタマーサポートだけの問題ではなく、クラウドサービスを利用する誰もが同じようなトラブルに直面し得る問題であることが明らかになってきた。実際、色々なことを考えさせられる事件なのだ。

そもそも、なぜ攻撃の手口がわかったのかというと、騒動の最中、Honan氏が新たに作成したTwitterアカウントに「Phobia」という攻撃者グループの1人がコンタクトしてきたからだ。攻撃者グループは単にHonan氏のTwitterのユーザーネーム(mat)を気に入り、それを乗っ取りたいと思って攻撃を仕掛けた。金銭ではなく、騒ぎを起こすのが目的で、だからHonan氏の銀行アカウントなどには侵入しなかったが、今日のクラウドサービスの弱点を公にしようと、メジャーな媒体に記事を提供してきた同氏に接触した。以下は、今回の攻撃のあらましだ。

  1. Honan氏のTwitterアカウントに興味を持った攻撃者はHonan氏に関するリサーチを開始。Honan氏のTwitterに個人ページへのリンクが張ってあり、そこに記されているGmailアドレスがTwitterにも使用されていると考えた。

  2. Google Account Recoveryページで、予備のメールアドレスを確認(Honan氏はログインに2段階認証プロセスを設定していなかった)。Honan氏はMobileMeアカウントのメールアドレスを登録していた。Googleはアドレスの一部を隠して表示するが、Honan氏のメールアドレスは「m・・・n@me.com」と推測しやすいものであり、同時にHonan氏がApple IDアカウントを所有していることが攻撃者にばれた。

  3. Appleのカスタマーサポートは、「セキュリティの質問」に答えられないユーザーであっても、「Apple IDのメールアドレス」「請求住所」「クレジットカードの最後の4桁の数字」が揃えば、パスワードの再設定を認める。そこでPhobiaはクレジットカード番号を入手するために、まずAmazon.comに電話し、Honan氏のメールアドレスのアカウントにクレジットカードの追加登録を依頼した。Amazonはユーザーが「名前」「住所」「メールアドレス」の情報を持っていれば電話からでもクレジットカードを追加してくれる。完了したら一旦電話を切り、今度は新しいメールアドレスを追加したいとAmazonに電話した。「名前」「住所」「クレジットカード番号(さっき電話で追加した番号)」が揃っていれば、Amazonはメールアドレスを追加してくれる。そしてAmazon.comにアクセスし、追加したばかりのメールアドレスを使ってパスワードを再設定し、Honan氏のAmazonアカウントに侵入。アカウント情報に記載されているクレジットカードの最後の4桁の番号を入手した。

  4. AppleCareに.Meメールアカウントにログインできないと電話、3つの情報(メールアドレス、住所、カード番号)が揃っていたため、Appleのスタッフは一時的なパスワードを発行。それを基に攻撃者はApple IDアカウントに侵入。パスワードを変更し、.Meメールのインボックス内の情報からGmailやTwitterのアカウントも乗っ取り、「iPhoneを探す」や「Mac を探す」を使ってHonan氏のデバイスをリモートワイプした。

パスワード変更とリモートワイプのお知らせが次々に送られてきた8月3日のHonan氏のGmail

クラウドサービスの便利さはリスクと背中合わせ

Honan氏がGoogleアカウントのログインに2段階認証プロセスを設定していれば、.Meメールの使用がばれることはなかった。重要なアカウント(Googleアカウント、Apple IDアカウント、Amazonアカウント)が共通の情報でつながっていなければ、攻撃者がApple IDアカウントまでリーチできなかっただろう。またMacBook Airがワイプされたことで同氏は家族の写真を失った。子供が誕生してからの写真が含まれており、MacBook Airのバックアップを取っていなかったことをHonan氏は何よりも悔やんでいる。

一方で、Honan氏は容易にソーシャルエンジニアリングされてしまうAmazonに怒り、いつの間にか重要なユーザーID/パスワードになってしまったApple IDアカウントを憂いている。もともとApple IDアカウントは音楽を購入するために作ったもので、当時はそれがモバイルデバイスやパソコンをコントロールし得るものになるとは思いもしなかった。またクレジットカードの最後の4つの番号の扱いがサービスによって異なるのも攻撃の糸口になった。Amazonでは「人の目に触れても大丈夫な番号」であり、AppleCareでは「本人確認の重要な情報」である。

Honan氏のトラブルを自分に当てはめてみると、アプリケーションごとの認証が面倒でGoogleの2段階認証プロセスを使っていないし、細々とではあるがいくつかの大切なアカウントが共通の情報でつながっている。狙われたら、おそらく芋づる式にやられてしまいそうだ。

ちょうどワシントンDCで開催されていたFOSE 2012で、Appleの共同創設者であるSteve Wozniak氏が、クラウドへの移行によって個人がデータを管理する力を失うと懸念し、今のクラウドに頼りすぎる風潮がやがて大きな問題を引き起こすと指摘したという。

Wozniak氏が言いたいことは分かる。今回のHonan氏のトラブルを教訓に自分のクラウドサービスの利用を見直すつもりだが、それで万全になるとはとても思えない。だからといって、今さらクラウドサービスの存在そのものを否定できるだろうか。筆者には無理だ。それぐらいクラウドサービスの便利さには魅力がある。同じように思っている人は少なくないはずだ。

現実的な解を求めれば、今のクラウドサービスにはまだ「成長の痛み」が伴うこと、クラウドサービスの便利さはリスクと背中合わせであることをユーザーが踏まえて使用するしかない。本当に他人の目に触れてはいけない情報はクラウドには預けず、クラウドにあるデータのバックアップを取り、ユーザーID/パスワードをきちんと管理する。

そして攻撃を受けたサービスの対応を評価する。昨年からDropboxの脆弱性や、Dropboxをターゲットにした攻撃が度々に話題になっているが、その度にDropboxは情報公開に努め、迅速に対策を講じてきた。ユーザーとしては不安を覚えたものの、そのすばやい対応からDropboxに対する新たな信頼も芽生えた。今はまだ全てのサービスが「成長の痛み」を抱えているように見える。だが、本当にお粗末なサービスもあれば、「成長の痛み」を乗り越えて成長しようとしているサービスもある。その違いはトラブルが起こったときのユーザーへの向き合い方によく現れる。