スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

なぜ人々はソフトを更新しないのか

どうしてデフォルトで自動更新するんですか? を読んで。

たしかに、私の周りを見てもソフトを更新する人が少ない。
Windows Updateが自動更新の通知を出してきても放ったらかし。
FlashPlayerなんかはずーっとアップデートしてなくて、とあるサイトが動かなくなったと相談を受けてみてみたらバージョン古すぎ…ということが何度かあった。
そんな状況に業を煮やしてか、Google Chromeはユーザーに黙って自動アップデートしたりしてる。

ネットに絡むソフトは脆弱性の問題があるので、特にセキュリティアップデートなどは即座に実行すべきなんだけど、実行してくれない。
なぜか? それは、告知の文面がおかしいから。

例えば、自動車に危険度の高い欠陥が見つかった場合、リコール扱いとなってディーラーからユーザーに謝罪込みの連絡が入り、自動車を持って行ったら取りあえず謝罪のうえお時間をいただいて修理…という流れになる。
リコールという言葉の意味はそこそこ認知されてるし、企業側の責任なのでもちろん謝罪の言葉は付いてくる。
修理するにしても「ほっとくと○○という危険があります」「我々の不手際が原因でお時間取らせて申し訳ありません」というスタンス。
そこまでやって、やっと顧客に修理の重要性が伝わるわけ。

ところがソフトウェアの場合、「我々のソフトに欠陥がありました」という旨を前面に出してこない。謝罪の言葉もない。
代わりに踊る言葉は「更新」「アップデート」「セキュリティ」「脆弱性」…これでは事の本質が伝わりません。まず欠陥があることを言わないと。謝罪込みで。

つまり、アップデートを告げるダイアログは、少なくとも以下のような文面で出すべきである。

ソフトウェアの更新について重要なお知らせ

このたび、私どものソフトウェアに重大な欠陥が見つかりました。
ご愛用者の皆様には多大なご心配とご迷惑をおかけした事を、深くお詫びいたします。

現在、欠陥を修正するための更新プログラムを配布いたしております。
ご多忙のところ大変恐縮ではございますが、更新プログラムを実行していただくようお願い申し上げます。

[更新プログラムをダウンロードして実行]



このようにすれば、アップデートをほったらかしにする人は減るはず。
スポンサーサイト

iCloudのアカウントはどういう手順で乗っ取られたか(追記あり)

iCloudアカウントが乗っ取られiPhoneやiPad、MacBookが遠隔消去される を読んで。

いくつか不明な点があったので、原文を読んで整理してみた。


Twitterアカウントから個人サイトを辿り、対象のGmailアドレスを入手した。
Gmailアドレスはもともと公開されていた。

Gmailの二つある認証がOFFになっていたので、Gmailのパスワード再設定リンクでGmailアドレスを入力するだけで、登録メールアドレスが表示された。
ただし一応は「m*****n@me.com」のように伏せ字表示

伏せ字になっている部分が公開していたメールアドレスと同じだったので、登録メールアドレスが判った。
@me.com はiCloudの無料メールドメインなので、これがApple IDである可能性大。
「Apple ID」「登録メールアドレス」をゲットできたかも。

対象が所持しているインターネットドメインのwhois情報から、住所を入手した。
「請求先住所」をゲットできたかも。

Amazonサポートに電話。アカウントにクレカ番号を追加したいと申し出る。
アカウント名・登録メールアドレス・請求先住所を告げれば、新しいクレカ番号を追加してもらえる。
「登録メールアドレス」と「請求先住所」は、先ほど入手したものを試す。
(クレカ番号を登録しているなら、アカウント名はおそらく本名そのもの? 対象はライターなので本名を公開していた)

OKだったのでクレカ番号を追加してもらえた。
Wired.comによる追試では、クレカ番号が偽物でも大丈夫だった(自動生成された、クレカ番号ルールに矛盾していない偽番号)

再びAmazonサポートに電話。今度はアカウントにアクセスできないと申し出る。
アカウント名・請求住所・さっき追加した(偽の)クレカ番号。これらを告げれば、登録メールアドレスの変更を行えるので、自分の持つメールアドレスに変更。

Amazonサイトに行って、パスワードリセットメールを出してそれを受け取る。
Amazonのアカウント乗っ取り完了。
Amazonアカウントにアクセスすれば、登録されているクレカ番号の末尾4桁だけが表示される。
これで「クレカ番号の末尾4桁」がゲットできた。(ついでに正確な「請求先住所」もゲット?)

AppleCareに電話。
iCloudの無料メールアドレス ( @me.com )が使えないと申し出る。
秘密の質問には答えられなかったが、「Apple ID」「クレカ番号の末尾4桁」「請求先住所」を知らせることで臨時パスワードを発行してもらった(発行先メールアドレスは口頭で伝えた?)。
そして、iCloudアカウント乗っ取り完了。

Gmailの登録メールアドレス = iCloud無料メールアドレスだったので、
Gmailサイトに行ってパスワード再発行メールを出すと手元のiCloudクライアントに届く。
Gmailアカウント乗っ取り完了。
※ iCloudメールアドレスにメールが届くとiCloudクライアントにプッシュ配信されるため、パスワード再発行メールは当の対象にも届いていた。しかし彼はiCloudのメールアドレスを殆ど使っていなかったので気付かなかった。iCloudメールはIMAPなので、攻撃者がメールを消すともう見られなくなる

Twitterの登録メールアドレスはGmailのものだった。
Twitterサイトからパスワード再発行メールを出す。さっき乗っ取ったGmailアカウントにそのメールが届く。
ついに、Twitterアカウント乗っ取り完了。

iCloudの遠隔消去機能を使って、対象のMac, iPhone, iPadを全消し。

だいたいこんな感じらしい。? が付いてる箇所は私の付記です。


ポイントは3つ。

1. AmazonとAppleの本人確認がザル
本人確認というのは、「本人しか知りえない・持ちえない事柄を提示してもらう」ことです。パスワード、秘密の質問、物理的な身分証明書など。
で、Amazonはそれを「アカウント名」「住所」「メールアドレス」でやってました。ハッカーがどうこう言う以前に、この仕様だと家族、友人、同僚など自分と近しい人が容易に乗っ取り可能です。米Amazonはこの穴を即日で塞いだようです(電話でのアカウント設定変更を受け付けなくした?)
Appleはまだ「クレカ番号末尾4桁」を使ってましたが、やってることはAmazonと大差ありません。こちらもアメリカでは電話での設定変更受付を凍結しました。

2. メールアカウントの乗っ取りが致命傷になる
「メールアカウント乗っ取り → パスワード再発行メール受け取り」の連携を使えば、たいていのWebサービスを一発で乗っ取り可能です。
受け取りが乗っ取られたらGmailエイリアスなんぞ無意味。
原文でも「私のネットバンキングや融資サービスを攻略することも可能だった」と書かれています。今回の事例だけでもかなりの被害ですが、これが犯罪目的ならもっとひどいことになってます。
パスワード再発行時に何らかの本人確認(秘密の質問など)を介せばちょっとは防げるかな?

3. iCloudとApple ID
ファイル保管、メールアカウント、クレジットカード情報、本名、住所、遠隔消去。
高機能なサービスが故に乗っ取られると破滅あるのみ。クラウド万歳。

あと犯罪者視点でみると、今回は対象が有名人だったので住所と本名が即バレしてるわけですが、本名と住所を抜く方法はいくらでもあるで〜的な。
LINEやFacebookのようにアドレス帳から吸い上げたり、AppleのGame Centerなど本名丸見えサービスから本名とメールアドレスを推定したり、WiFi機器のMACアドレスからGoogleの位置情報サービスあるいはPlaceEngineで住所を割り出したり、TwitPicの自宅撮り写真に含まれたジオタグから住所ゲットしたり、etc。
プロフィール

waverider

Author:waverider

ああ、沖縄に行きたい…

最近の記事
カテゴリー
最近のトラックバック
ブログ内検索
RSSフィード
リンク
上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。