このページの本文へ

時事セキュリティが5分でわかる 第6回

大手クラウドサービスハッキング事件でクラッカーが利用したトリッキーな攻撃方法とは?

セレブのヌード写真流出と「秘密の質問」の意外な関係

2014年09月18日 09時00分更新

文● まかふぃーぶ

  • この記事をはてなブックマークに追加
  • 本文印刷

 最近気になるセキュリティ事件のあらましをざっくり解説! 注目点とユーザーレベルでの対策をお伝えします。

スマホで撮ったセレブのあられもない写真が流出。前代未聞のスキャンダルの影には「秘密の質問」が……

 米国の大手人気クラウドサービスがアカウントハッキングされ、海外セレブのヌード写真やセルフポートレートが流出し、大きな話題となった。この事件の特徴と取るべき対策について、ITジャーナリストの三上洋氏に訊く。

当初は“端末捜索機能”の脆弱性が疑われていたが…

三上 「まず1つ言えるのは、『アメリカのセレブってセルフポートレートでヌードを撮るんだね』ということ。

 自分の美しい体を美しいうちに残しておきたい、ということなのでしょうが、おそらく日本人はあまりそういう文化に馴染みがないでしょう。写真を撮る感覚自体が日本人と少し異なっているのかなと思います。ツールの使い方にそもそも違いがあるのです」

 セレブのあられもない姿を映した写真は瞬く間にネット上で拡散され、流出発覚からクラウドサービス運営からの公式声明が発表されるまでの間、事件に関するさまざまな憶測が流れた。その点について三上氏は、同時期に発見されたスマホ端末の脆弱性の影響を指摘する。

三上 「写真がばらまかれ始めた時間の前後に、ちょうどスマホの端末捜索機能にセキュリティ上の脆弱性が見つかっています。通常はパスワード認証に数回失敗するとロックがかかる、あるいは一定時間使えなくなるのですが、この脆弱性は特定の手順を踏めば認証を無限に試せてしまうというものでした。

 当然、辞書攻撃や総当たり攻撃の餌食になってしまう。サービス運営が声明を出すまでは、私もこれが原因ではないかと思っていました」

 iPhoneの脆弱性を突いた攻撃が疑われていたが、端末メーカーは公式にこれを否定した。実際の攻撃はまったく異なる手法で行なわれていた可能性が高いという。

攻撃者は「秘密の質問」からパスワードを入手

三上 「攻撃者は『秘密の質問』からパスワードの情報を入手し、アカウントをハッキングしたと見られています。この秘密の質問という仕組みが、今回の事件の大きなポイントです」

バンキングサービスでも「合言葉」という名前で秘密の質問が採用されている。SNSなどから把握できそうな情報はくれぐれも入力しないように心掛けたい

 「結論から言えば、攻撃者は秘密の質問の答えをセレブの個人情報から類推し、パスワードを入手したということになります。大前提として、秘密の質問は事前に登録しておいた質問に答えられればパスワードを教える、もしくはアカウントにリセットをかけるというサービスです。自社でメールアドレスを発行しているような会社は、本人確認にアドレスが使えないため、秘密の質問を利用する場合が多いようですね」

 質問はペットの名前や小学校、母親の旧制など、個人情報に結びついたものですから、大体は皆、忘れないように本当の答えを書くわけです。ところが、セレブの場合はそれが広く知られている、もしくはインターネットで検索をかければ分かってしまう。今回の事件の場合、攻撃者は秘密の質問の答えを他のサービスでも利用したようです。事実、特定の端末で撮られた写真のみが流出したわけではなかったのです」

SNSで個人情報を書き過ぎると「秘密の質問」は効力を失う

 「今回の事件でわかったことは、『秘密の質問』という仕組みそのものを逆手に取ることが可能ということ」と三上氏は警鐘を鳴らす。

三上 「基本的に忘れてはいけないものですから、ユーザー側は正しい答えを設定してしまう。ただ、今はソーシャルの時代ですので、SNSの書き込みなどを辿られれば、一般人でも秘密の質問の答えがバレてしまう可能性がある

「SNSの書き込みで『秘密の質問』の答えがバレてしまいかねない」(ITジャーナリストの三上洋氏)

 「日本で秘密の質問を利用している代表的な企業・サービスとしては、著名な銀行や各種メールサービスが挙げられます。これらのサービスを利用していると、アカウントハッキングされる可能がないとは言えません」

 「対策はシンプルで、秘密の質問をどうしても入力しなければいけない場合は、嘘の情報を書いてメモしておく。現状、これ以外の対策は取れないと思います。

 基本的なことですが、パスワードはサービスごとに別のものを設定しましょう。書き留めておくのもいいですし、あるいは管理ソフトを使えばもっとスマート。事業者側に言いたいのは、秘密の質問による本人確認はリスクを伴うものである、ということです」

カテゴリートップへ

この連載の記事