Appleは、macOSの「Macを探す」機能を、Macを紛失したり盗難に遭ったりした人がMacを復旧し、同時にアクセス不能にすることを目的として設計しました。しかし残念なことに、最近、「Macを探す」機能は、iCloud自体ではなく、YahooやLinkedInなどの主要サイトのアカウント侵害から漏洩したユーザー名と脆弱なパスワードを悪用する恐喝犯によって悪用される事態が発生しました。
これらの犯罪者は、漏洩したユーザー名とパスワードを使用して iCloud.com にログインし、「Mac を探す」で秘密のコードを使用して Mac をロックし、画面にメッセージを表示して、Mac のロックを解除する番号を受け取るための Bitcoin の送信先を指示します。
この攻撃の被害に遭ってしまった場合は、身代金を支払わないでください! Apple StoreまたはApple正規サービスプロバイダにお越しください。AppleのFAQによると、購入証明書をお持ちいただければ、AppleがMacのロックを解除してくれます。ただし、まずはiCloudのパスワードを変更してください。
Appleの2要素認証(2FA)ならこの攻撃をブロックできると思うかもしれませんが、実際にはそうではありません。AppleはiCloudの特定のアクティビティを2FAコードなしで実行できるようにしているからです。これは、信頼できるデバイスや電話番号にアクセスできない場合でも、紛失したデバイスをロックできるようにするためのAppleの意図的なセキュリティ上の決定です。MacとiPhoneの両方が盗まれたと想像してみてください。しかし、恐喝犯が「Macを探す」を巧妙に操作してきたことを考えると、Appleはこの機能を早急に見直す必要があります。
iCloudと他のサイトで同じパスワードを使用している場合、またはiCloudのパスワードを何年も変更していない場合は、すぐに変更してください。一部の専門家は「Macを探す」を無効にすることを推奨していますが、そうするとデータ保護とデバイスの復元に役立つ貴重なツールが失われてしまいます。問題はパスワードであり、「Macを探す」サービスそのものではありません。
これらの大規模なアカウント侵害で自分の認証情報が漏洩した可能性があるかどうかを確認するには、オーストラリアのセキュリティ専門家 Troy Hunt が運営し、公開アカウント侵害をまとめた信頼できるサイト「Have I Been Pwned?」も参照してください。
この攻撃は、iOSの紛失モードがパスコードを使ってデバイスのロックを解除するため、既にパスコードが設定されているiPhoneやiPadには効果がありません。しかし、iOSデバイスにパスコードが設定されていない場合、またはMacをお使いの場合は、iCloud.comの「iPhoneを探す」画面の「ロック(Mac)」と「紛失モード(iOS)」を利用することで、攻撃者は自分だけが知っているコードを入力し、支払い方法を伝えるカスタムメッセージを表示することができます。
オンライン報告や弊社のテストに加え、この攻撃に関する直接の報告も得ています。コーネル大学の大学院生(母親がTidBITS読者で、弊社に連絡をくれた)が今週、この攻撃の被害に遭いました。彼女のMacBookは2台ともロックされ、画面にはAppleのアドレスを装ったダイアログが表示されました。
幸運なことに、彼女はTime MachineとCarbon Copy Clonerの両方のバックアップを持っていました。メールアドレスに返信する代わりに、彼女はAppleに電話し、MacBookを最寄りのApple Storeに持っていくように言われました(Apple Storeは1時間も離れており、3日間も対応してもらうことはできませんでした。Appleが対応できるからといって、必ずしも都合が良いとは限りません)。Apple Storeの従業員は、領収書で所有権を証明し、両方のコンピュータのロックを解除することができました。そして、この学生の母親は、強力なパスワードを使用し、複数のサイトで同じパスワードを使い回さないようにという親のアドバイスを無視した娘を叱責するのをなんとか控えました。
知っておくべきことはこれだけです。しかし、なぜ今このような攻撃が起こっているのかを理解したい方は、ぜひ読み進めてください。
機能が棍棒に— はっきり言って、iCloudは大規模なセキュリティ侵害を受けたわけではありません。むしろ、今回の攻撃は、ユーザー名とパスワードが漏洩した他のサイトでのセキュリティ侵害によって可能になったのです。問題は、ユーザーがiCloudとセキュリティ侵害を受けたサイトで同じパスワードを使用していたことに起因しています。長年にわたり、約50億件のアカウントがセキュリティ侵害によって漏洩していることを考えると、攻撃者がそれらのスナップショットからあなたの認証情報を入手した可能性は十分にあります。
パスワードの使い回しを利用した攻撃はiCloudで既に発生していると思われるかもしれません。実際、数年前、初期の侵入で脆弱なパスワードが解読された際に、多くのiCloudユーザーが問題に遭遇しました。問題は、クラッカーたちが今もなお、より強力な計算エンジンを用いて、盗み出したデータベースからより強力なパスワードを次々と作り出しているということです。そのため、かつてはクラッキングに耐えられたパスワードでさえ、この継続的な攻撃の標的になっているのです。さらに、Appleは現在2要素認証を積極的に推奨しているため、2要素認証で保護されると信じて、比較的弱いパスワードを使い続けている人もいます。これは実際には合理的な推測ですが、今回の恐ろしいケースを除けば、それは当てはまりません!
2FAは、パスワードだけを盗まれた人がiCloudに完全にアクセスするのを防ぎます。しかし、最近になって犯罪者が気づいたのは、2FAの有無にかかわらず、解読可能なパスワードを持つアカウントに大損害を与えることができるということです。
iCloud.comでは、2FAで保護されたアカウントへのログイン試行は、ユーザー名とパスワードの入力を求める画面から始まります。次に、2FAに登録されているすべてのコンピュータとデバイスで、ログイン試行を許可するか許可しないかを選択するプロンプトが表示されます。しかし、ここに脆弱性があります。このダイアログを閉じずにiCloud.comにアクセスすると、誰かが「iPhoneを探す」「Apple Pay」「Apple Watchの設定」にアクセスでき、「iPhoneを探す」画面からMacをロックしたり、iOSデバイスを紛失モードにしたりできてしまいます。Appleはこの脆弱性を早急に修正すべきです。
(予期しない 2FA ログイン要求を受け取った場合は注意してください。誰かがあなたのパスワードを入手した可能性を示している可能性があります。予期しない要求を受け取った場合は、すぐにMac で「Mac を探す」を無効にし、iCloud パスワードを変更してから、「Mac を探す」を再度有効にしてください。また、Apple は最近、「許可しない」をクリックしたときの動作を変更しました。以前は何も起こりませんでした。現在は、「許可しない」をクリックしたデバイスで、誰かが
あなたのアカウントにアクセスしようとしている可能性があり、パスワードの変更を提案する警告が表示されます。)
こうした攻撃が今まさに発生しているもう一つの理由は、ランサムウェアの蔓延によって、金銭と引き換えに誰かのファイルをロックするという概念が広まったことです。ビットコインはほぼ匿名性が高く、国際的に容易に使用できる暗号通貨であり、違法で疑わしい取引の手段として利用されているため、こうした支払いは受取人を追跡するのが困難です。(もちろん、ビットコインは合法的な取引にも数多く利用されていますが、オンラインのブラックマーケットで好まれる手段です。)そして、疑問に思われる前に言っておきますが、Appleは「
iPhoneを探す」のロック要求の発信元IPアドレスを追跡することは可能ですが、VPNやインターネットカフェなど、発信元を隠蔽する手段が使われているため、それは役に立ちません。
2FAが有効になっている場合、消去には2要素目の入力が必要となるため、攻撃者はMacやiOSデバイスを消去できないと考えています。iOSではこれをテストしましたが、macOSでは消去可能なMacが手元にないため、最終手順を確認できませんでした。とはいえ、同じプロセスが踏まれているようです。(Appleはこれらの消去手順をそこまで詳細に文書化していないため、参考になると思います。)
iCloud と一般的なパスワードのセキュリティを強化する— iCloud のパスワードとセキュリティ、およびパスワードの一般的な衛生管理に関する最善のアドバイスの要約は次のとおりです。
- パスワードマネージャを使いましょう。TidBITSでは1PasswordとLastPassを使用しています。iOS 11ではiCloudキーチェーンをより広範囲に活用できるようになり、サードパーティ製アプリがiCloudキーチェーンのパスワードストアにアクセスできるようになりました。
- 各サイトごとに固有のパスワードを作成してください。パスワードマネージャーを使えば、パスワードの作成も入力も簡単です。
-
iCloud、Google、Netflix など、パスワードマネージャーを使用せずにパスワードを入力する必要があるサービスでは、入力しやすい長いパスワードを使用してください。残念ながら多くのサイトで強制されている、文字、数字、句読点を組み合わせた短いパスワード(多くの場合 8~12 文字)を使用するという古いアドバイスは時代遅れです。米国国立標準技術研究所(NIST)が発表したパスワードを含む最新の推奨事項では、より長く、覚えやすく、入力しやすいパスワードが推奨されています。パスワードマネージャーは、これらのパスワードを自動的に生成することもできます。
-
iCloudを含む、可能な限り2FAを有効にしてください。この攻撃はAppleの2FAの抜け穴を悪用していますが、2FAは他のあらゆる場面でその利点を維持しています。
パスワードの選択、パスワード マネージャーの使用、および一般的なアカウント セキュリティに関する詳細なアドバイスについては、Joe Kissell の優れた著書「Take Control of Your Passwords」を参照してください。
注目を集めた情報漏洩事件を受けて、多くのサイトがパスワード暗号化のセキュリティを大幅に強化しました。賢明な経営を行う企業は、パスワード暗号化に優れたアルゴリズムとアプローチを採用するようになりました。現在、多くのサイトはスケーリング係数を備えたアルゴリズムを採用しています。つまり、時間の経過とともにサイトは数値を上げ続け、コンピューターの処理能力が向上しても、保存されたパスワードを解読不可能な状態に保つことができます。1Password、LastPassなどの企業は、既にこの手法を使用して保管庫のパスワードを保護しています。2015年にはLastPassが深刻な情報漏洩に見舞われましたが、
パスワードを1つでも解読するには膨大な計算量が必要だったため、アカウントが解読されたという報告はありませんでした。
ユーザーが現在、より良いパスワードを定期的に選択し、複数のサイトで同じパスワードを使い回していないかどうかは不明です。1PasswordやLastPassの人気は、この点においてある程度の改善を示唆していると言えるでしょう。しかし、多くのサイトが提示する時代遅れのパスワード要件が、パスワードに精通していないユーザーのパスワード強度向上を妨げているのではないかと私は考えています。サイトは時代の流れに適応し、ベストプラクティスに従い、ユーザーに最新のアドバイス(そして偶然にも、ユーザーにとってよりストレスの少ないアドバイス)を提供する必要があります。
Appleはこの抜け穴を見直す必要がある― iCloudパスワードだけでMacを暗証番号でロックできるというのは、あまり良い考えではない。AppleはmacOSの動作をiOSのように変更し、パスコードでデバイスのロックを解除できるようにしてはどうだろうか。「Macを探す」でロックされたMacに、macOSの管理者パスワードを使って再びアクセスできるようになったらどうだろうか?
Apple は、FileVault 2 ですでに使用されている機能を応用してそのような機能を有効にし、2FA に登録されたハードウェアをすべて紛失した Mac ユーザーがデバイスをロックできるようにすることができます。
FileVault を利用する場合、Apple はリカバリパーティションに、FileVault にアクセスできるすべての macOS ログインのアカウント情報を保存します。FileVault で保護された Mac の電源を入れたり再起動したりすると、macOS はリカバリパーティションで起動します。パスワードを入力すると、メインのブートパーティションで使用されているフルディスク暗号化キーが解除され、起動シーケンスが正常に続行されます。
しかし現状では、FileVault が有効になっていない場合、Mac のロックを解除する際に比較対象となるアカウント認証情報がリカバリパーティションに保存されていません。Apple が Mac をロックする人に秘密のロック解除コードを選択させているのは、おそらくそのためでしょう。Apple が macOS をアップデートし、管理者アカウントの暗号化された認証情報をリカバリパーティションに保存するようになれば、iOS のようにパスコードを入力すると紛失モードが解除されるのと同様に、管理者パスワードだけでロックされた Mac のロックを解除できるようになるでしょう。
このようなアップデートがあれば、MacユーザーはiCloudパスワードの使い回し、ソーシャルエンジニアリング、その他パスワード紛失による恐喝被害に遭う心配がなくなります。Appleがこの変更、あるいは同様の変更に取り組んでいることを期待しています。