スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

iCloudのアカウントはどういう手順で乗っ取られたか(追記あり)

iCloudアカウントが乗っ取られiPhoneやiPad、MacBookが遠隔消去される を読んで。

いくつか不明な点があったので、原文を読んで整理してみた。


Twitterアカウントから個人サイトを辿り、対象のGmailアドレスを入手した。
Gmailアドレスはもともと公開されていた。

Gmailの二つある認証がOFFになっていたので、Gmailのパスワード再設定リンクでGmailアドレスを入力するだけで、登録メールアドレスが表示された。
ただし一応は「m*****n@me.com」のように伏せ字表示

伏せ字になっている部分が公開していたメールアドレスと同じだったので、登録メールアドレスが判った。
@me.com はiCloudの無料メールドメインなので、これがApple IDである可能性大。
「Apple ID」「登録メールアドレス」をゲットできたかも。

対象が所持しているインターネットドメインのwhois情報から、住所を入手した。
「請求先住所」をゲットできたかも。

Amazonサポートに電話。アカウントにクレカ番号を追加したいと申し出る。
アカウント名・登録メールアドレス・請求先住所を告げれば、新しいクレカ番号を追加してもらえる。
「登録メールアドレス」と「請求先住所」は、先ほど入手したものを試す。
(クレカ番号を登録しているなら、アカウント名はおそらく本名そのもの? 対象はライターなので本名を公開していた)

OKだったのでクレカ番号を追加してもらえた。
Wired.comによる追試では、クレカ番号が偽物でも大丈夫だった(自動生成された、クレカ番号ルールに矛盾していない偽番号)

再びAmazonサポートに電話。今度はアカウントにアクセスできないと申し出る。
アカウント名・請求住所・さっき追加した(偽の)クレカ番号。これらを告げれば、登録メールアドレスの変更を行えるので、自分の持つメールアドレスに変更。

Amazonサイトに行って、パスワードリセットメールを出してそれを受け取る。
Amazonのアカウント乗っ取り完了。
Amazonアカウントにアクセスすれば、登録されているクレカ番号の末尾4桁だけが表示される。
これで「クレカ番号の末尾4桁」がゲットできた。(ついでに正確な「請求先住所」もゲット?)

AppleCareに電話。
iCloudの無料メールアドレス ( @me.com )が使えないと申し出る。
秘密の質問には答えられなかったが、「Apple ID」「クレカ番号の末尾4桁」「請求先住所」を知らせることで臨時パスワードを発行してもらった(発行先メールアドレスは口頭で伝えた?)。
そして、iCloudアカウント乗っ取り完了。

Gmailの登録メールアドレス = iCloud無料メールアドレスだったので、
Gmailサイトに行ってパスワード再発行メールを出すと手元のiCloudクライアントに届く。
Gmailアカウント乗っ取り完了。
※ iCloudメールアドレスにメールが届くとiCloudクライアントにプッシュ配信されるため、パスワード再発行メールは当の対象にも届いていた。しかし彼はiCloudのメールアドレスを殆ど使っていなかったので気付かなかった。iCloudメールはIMAPなので、攻撃者がメールを消すともう見られなくなる

Twitterの登録メールアドレスはGmailのものだった。
Twitterサイトからパスワード再発行メールを出す。さっき乗っ取ったGmailアカウントにそのメールが届く。
ついに、Twitterアカウント乗っ取り完了。

iCloudの遠隔消去機能を使って、対象のMac, iPhone, iPadを全消し。

だいたいこんな感じらしい。? が付いてる箇所は私の付記です。


ポイントは3つ。

1. AmazonとAppleの本人確認がザル
本人確認というのは、「本人しか知りえない・持ちえない事柄を提示してもらう」ことです。パスワード、秘密の質問、物理的な身分証明書など。
で、Amazonはそれを「アカウント名」「住所」「メールアドレス」でやってました。ハッカーがどうこう言う以前に、この仕様だと家族、友人、同僚など自分と近しい人が容易に乗っ取り可能です。米Amazonはこの穴を即日で塞いだようです(電話でのアカウント設定変更を受け付けなくした?)
Appleはまだ「クレカ番号末尾4桁」を使ってましたが、やってることはAmazonと大差ありません。こちらもアメリカでは電話での設定変更受付を凍結しました。

2. メールアカウントの乗っ取りが致命傷になる
「メールアカウント乗っ取り → パスワード再発行メール受け取り」の連携を使えば、たいていのWebサービスを一発で乗っ取り可能です。
受け取りが乗っ取られたらGmailエイリアスなんぞ無意味。
原文でも「私のネットバンキングや融資サービスを攻略することも可能だった」と書かれています。今回の事例だけでもかなりの被害ですが、これが犯罪目的ならもっとひどいことになってます。
パスワード再発行時に何らかの本人確認(秘密の質問など)を介せばちょっとは防げるかな?

3. iCloudとApple ID
ファイル保管、メールアカウント、クレジットカード情報、本名、住所、遠隔消去。
高機能なサービスが故に乗っ取られると破滅あるのみ。クラウド万歳。

あと犯罪者視点でみると、今回は対象が有名人だったので住所と本名が即バレしてるわけですが、本名と住所を抜く方法はいくらでもあるで〜的な。
LINEやFacebookのようにアドレス帳から吸い上げたり、AppleのGame Centerなど本名丸見えサービスから本名とメールアドレスを推定したり、WiFi機器のMACアドレスからGoogleの位置情報サービスあるいはPlaceEngineで住所を割り出したり、TwitPicの自宅撮り写真に含まれたジオタグから住所ゲットしたり、etc。

comment

管理者にだけメッセージを送る

プロフィール

waverider

Author:waverider

ああ、沖縄に行きたい…

最近の記事
カテゴリー
最近のトラックバック
ブログ内検索
RSSフィード
リンク
上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。