時事セキュリティが5分でわかる 第6回
大手クラウドサービスハッキング事件でクラッカーが利用したトリッキーな攻撃方法とは?
セレブのヌード写真流出と「秘密の質問」の意外な関係
2014年09月18日 09時00分更新
最近気になるセキュリティ事件のあらましをざっくり解説! 注目点とユーザーレベルでの対策をお伝えします。
米国の大手人気クラウドサービスがアカウントハッキングされ、海外セレブのヌード写真やセルフポートレートが流出し、大きな話題となった。この事件の特徴と取るべき対策について、ITジャーナリストの三上洋氏に訊く。
当初は“端末捜索機能”の脆弱性が疑われていたが…
三上 「まず1つ言えるのは、『アメリカのセレブってセルフポートレートでヌードを撮るんだね』ということ。
自分の美しい体を美しいうちに残しておきたい、ということなのでしょうが、おそらく日本人はあまりそういう文化に馴染みがないでしょう。写真を撮る感覚自体が日本人と少し異なっているのかなと思います。ツールの使い方にそもそも違いがあるのです」
セレブのあられもない姿を映した写真は瞬く間にネット上で拡散され、流出発覚からクラウドサービス運営からの公式声明が発表されるまでの間、事件に関するさまざまな憶測が流れた。その点について三上氏は、同時期に発見されたスマホ端末の脆弱性の影響を指摘する。
三上 「写真がばらまかれ始めた時間の前後に、ちょうどスマホの端末捜索機能にセキュリティ上の脆弱性が見つかっています。通常はパスワード認証に数回失敗するとロックがかかる、あるいは一定時間使えなくなるのですが、この脆弱性は特定の手順を踏めば認証を無限に試せてしまうというものでした。
当然、辞書攻撃や総当たり攻撃の餌食になってしまう。サービス運営が声明を出すまでは、私もこれが原因ではないかと思っていました」
iPhoneの脆弱性を突いた攻撃が疑われていたが、端末メーカーは公式にこれを否定した。実際の攻撃はまったく異なる手法で行なわれていた可能性が高いという。
攻撃者は「秘密の質問」からパスワードを入手
三上 「攻撃者は『秘密の質問』からパスワードの情報を入手し、アカウントをハッキングしたと見られています。この秘密の質問という仕組みが、今回の事件の大きなポイントです」
「結論から言えば、攻撃者は秘密の質問の答えをセレブの個人情報から類推し、パスワードを入手したということになります。大前提として、秘密の質問は事前に登録しておいた質問に答えられればパスワードを教える、もしくはアカウントにリセットをかけるというサービスです。自社でメールアドレスを発行しているような会社は、本人確認にアドレスが使えないため、秘密の質問を利用する場合が多いようですね」
質問はペットの名前や小学校、母親の旧制など、個人情報に結びついたものですから、大体は皆、忘れないように本当の答えを書くわけです。ところが、セレブの場合はそれが広く知られている、もしくはインターネットで検索をかければ分かってしまう。今回の事件の場合、攻撃者は秘密の質問の答えを他のサービスでも利用したようです。事実、特定の端末で撮られた写真のみが流出したわけではなかったのです」
SNSで個人情報を書き過ぎると「秘密の質問」は効力を失う
「今回の事件でわかったことは、『秘密の質問』という仕組みそのものを逆手に取ることが可能ということ」と三上氏は警鐘を鳴らす。
三上 「基本的に忘れてはいけないものですから、ユーザー側は正しい答えを設定してしまう。ただ、今はソーシャルの時代ですので、SNSの書き込みなどを辿られれば、一般人でも秘密の質問の答えがバレてしまう可能性がある」
「日本で秘密の質問を利用している代表的な企業・サービスとしては、著名な銀行や各種メールサービスが挙げられます。これらのサービスを利用していると、アカウントハッキングされる可能がないとは言えません」
「対策はシンプルで、秘密の質問をどうしても入力しなければいけない場合は、嘘の情報を書いてメモしておく。現状、これ以外の対策は取れないと思います。
基本的なことですが、パスワードはサービスごとに別のものを設定しましょう。書き留めておくのもいいですし、あるいは管理ソフトを使えばもっとスマート。事業者側に言いたいのは、秘密の質問による本人確認はリスクを伴うものである、ということです」
この連載の記事
-
第22回
デジタル
パスワードの教訓、長澤まさみさんの盗まれたプライベート写真から何を得る? -
第21回
デジタル
ランサムウェアがビジネス化して、信用を重視しはじめてきた -
第20回
デジタル
使っちゃダメ! FPS向けチートツールが国内初の摘発事例に発展 -
第19回
デジタル
これぞ攻性防御!? 警視庁が国内初のボットネット無力化作戦決行! -
第18回
デジタル
史上最悪の振り込め詐欺被害額! 対策は両親宅に電話番号を貼り出せ!? -
第17回
デジタル
「年収1000万のイケメン」に注意!? 女性を狙う婚活サイト詐欺 -
第16回
デジタル
なぜ!? パスワードを変えても、SNS乗っ取りが止まらない -
第15回
デジタル
翻訳サービスの仕様で公官庁のメール文が見放題に!? -
第14回
デジタル
SNS乗っ取りスパム、犯人は海外の詐欺業者だった!? -
第13回
デジタル
NASの設定ミスで、学校関係者の個人情報が丸見えに!? -
第12回
デジタル
2015年、気をつけたいセキュリティの脅威とは? - この連載の一覧へ