有名人のヌード画像の宝庫 -- 有名人の一部と称される --ウェブ上に広がる日曜日の夕方。問題の画像の多くは真実性が不明ですが、多くの有名人がこのプライバシー侵害の被害者であることを認めています。
携帯電話やオンラインアカウントをハッキングして、有名人のヌード写真や個人写真にアクセスすることは、決して新しいことではない(パリス・ヒルトンのサイドキックがハッキングされたときのことを覚えているだろうか?)が、この事件を潜在的にさらに不安にさせるのは、この画像のキャッシュがより広範な犯罪に関連しているという噂である。 iCloud とそのフォト ストリーム機能に対する攻撃。
明確にしておきますが、iCloud がこの事件に関与したことは確認されていません。私たちは Apple にコメントを求めており、同社から何らかの声明が得られれば更新します。また、iCloud アカウントが侵害されたとしても、それは必ずしも大規模なシステム侵害を意味するわけではないことに注意することも重要です。
それでも、どれだけの人が iCloud を使用しているかを知っているので、私たちは iCloud と、Dropbox、Google Drive、OneDrive などの他のクラウド システムがどれほど安全であるかを取り上げたいと思いました。
iCloud セキュリティの概要
Apple の Web サイトには、セキュリティ対策iCloud 上のデータを保護するために設置されています。
iCloud データは、サーバー上と転送中 (つまり、デバイスからサーバーに送信されるとき) の両方で暗号化されます。写真については、最低レベルの 128 ビット AES 暗号化があると Apple は述べています。
クレジット: Apple.com
Apple の公式アプリでは、Apple は安全なトークンを使用してアカウントを認証します。これは、ユーザー名とパスワードがアプリ自体には保存されないことを意味します。 iCloud にアクセスする可能性のあるサードパーティ製アプリの場合、Apple はユーザー名とパスワードを SSL 経由で送信します。
これは、パスワードが一意で安全である限り、携帯電話やコンピュータから Apple のサーバーに送信されるデータを誰かが傍受するのは非常に困難であることを意味します。
パスワードの強度はどれくらいですか
本当の問題は、iCloud のセキュリティがどれほど優れているかということよりも、ユーザーのパスワードがどれほど強力 (そしてどれほどユニークか) であるかということです。
Apple はユーザーに、少なくとも 8 文字、数字、大文字、小文字を含むパスワードを設定することを要求しています。ただし、以前は、これらのルールに適合しないパスワードを使用していても、2 要素認証にサインアップしない限り、Apple は新しいパスワードの作成を強制しなかったことを知っています。
さらに、ほとんどのユーザーが遭遇する本当の問題は、パスワードが十分に強力でないことではありません。それはユニークではないということです。
さまざまなアカウント用に作成した何百もの異なるパスワードを追跡するのは困難です。したがって、通常は、同じパスワードを何度も再利用することが簡単になります。
これは問題です。頻繁に使用するサイトがハッキングされ、その電子メールとパスワードの組み合わせを他のアカウントに使用すると、それらのアカウントすべても危険にさらされることになります。
これは、パスワードが「強力」になるように作成されたとしても、そのパスワード (および同じ電子メールまたはユーザー名) を複数の場所で使用すると役に立たないことを意味します。ハッカーは、侵害されたユーザー名とパスワードを含む大規模なデータベース セットにアクセスできます。
これが、ユーザーに常に変更を推奨する理由です。パスワードそのパスワードが同じログイン名で複数の場所で使用されるとき。これは、アカウントが重要である場合、または別のアカウント (Facebook、Gmail、Twitter など) にリンクされている場合に特に当てはまります。
二要素認証
パスワードは (ユーザーが再利用するため) 問題を引き起こす可能性がありますが、2 要素認証を使用することでそのリスクさえ軽減できます。 2 要素認証とは、アカウントにアクセスする前に、パスワードと一意のデバイス コード (通常は SMS 経由または認証キーから送信される) の両方を使用してログインする必要があることを意味します。
Apple は、独自の 2 要素認証のサポートを提供しています。iTunes および iCloud アカウント。有効にすると、新しいコンピュータまたはデバイスが iCloud データにアクセスできるようにするには、そのデバイスを 4 桁の認証コード (SMS 経由で携帯電話に送信される) で承認するか、別の有効なマシンからのアクセスを許可する必要があることを意味します。すべてのデバイスにもポップアップが表示され、別のコンピュータが iCloud または Apple ID データにアクセスできるようになったことが通知されます。
2014 年 9 月 2 日の更新:マイケル・ローズ役TUAWが指摘する, Apple の 2 要素認証の主な目的は、データではなくウォレットを保護することのようです。 Apple からサポートを受けるか、My Apple ID 管理コンソールにログインするか、購入する場合のみ、2 要素セットアップがトリガーされます。
Apple が 2 要素認証を提供しているのは素晴らしいことですが、Apple の 2 要素システムの設定プロセスは、Google や Dropbox で 2 要素認証を設定するほど簡単ではないことに注意する必要があります。 Apple のシステムは、Yubikey や、一意の 4 桁コードを生成するための Google 独自の Google Authenticator プロトコルなどのサードパーティ認証システムでは動作しません。
2 要素認証のセットアップ プロセスは、大多数のユーザーが自分のアカウントで有効にしていないのではないかと思われます。これは、ほとんどのアカウントでは、iCloud パスワードにアクセスするだけで iCloud やさまざまなデータにアクセスできることを意味します。
ソーシャル エンジニアリング: 本当の脅威
Apple の組み込みセキュリティ システムは非常に堅牢です。 2 要素認証のオプションは、ユーザーがセキュリティを倍増するもう 1 つの方法です。
ただし、ほとんどのセキュリティ攻撃の実際のベクトルは、必ずしもシステム自体に組み込まれたセキュリティ バグではなく、防御がはるかに困難な領域、つまり人々にあります。
2012年、ワイアード記者のマット・ホーナン氏が被害者となった。大規模なハッキングそのせいで彼のデジタルライフは混乱に陥った。
ハッカーはパスワードを解読してホーナン氏のアカウントにアクセスしたわけではありません。その代わりに、彼は公開情報、技術サポートによる不安定なセキュリティ慣行、そして古き良きソーシャル エンジニアリングを利用して、最終的に Gmail と iCloud アカウントにアクセスすることができました。
2 年後、Apple や Amazon などの企業 (いずれも犯罪者によるホーナンのアカウントへのアクセスを不用意に幇助した) はサポート ポリシーを変更しました。しかし、2 要素認証がオンになっていない限り、ソーシャル エンジニアリングや正しい (いや、間違った) テクニカル サポート エージェントの入手によって、間違った人にアクセスが提供される可能性があります (または、犯罪者が正常に回答することで、アカウントにアクセスするのに役立つ重要な情報を入手できる可能性があります)秘密の質問)。
ローカルデバイスからのコンテンツへのアクセス
コンピュータを iCloud または iPhoto と同期すると、iCloud に送信されるファイルと iCloud に保存されるファイルは暗号化され、安全になります。ただし、デバイス自体上のファイルについては別の話になる可能性があります。
たとえば、iPhone または iPad にパスコードが設定されていない場合 (また、新しいマシンに接続するたびにユーザーに USB へのアクセスの承認を求めるオプションがない場合)、誰かがあなたのデバイスを別のマシンに接続する可能性があります。コンピュータに接続し、iTunes またはその他のサードパーティ プログラムを使用して、携帯電話からすべてのファイルをコピーします。これらのファイルの一部は暗号化される場合がありますが、写真やビデオなどのファイルは暗号化されません。
iPhone 4S または iPad 2 以降の iOS 7 では、ロックされた携帯電話がコンピュータに接続されている場合、ファイル システム全体がコピーされたとしても、そのシステムの内容携帯電話にパスコードがある限り、暗号化されたままになります。
同様に、Apple は OS X に組み込まれた優れた暗号化を提供していますが、デフォルトでは有効になっていません。つまり、誰かがあなたのラップトップまたはデスクトップに物理的にアクセスし、あなたのユーザー アカウントに侵入できる場合 (パスワードが設定されていると仮定して)、その人はあなたのファイルにアクセスできます。
これは iCloud 自体とは関係ありませんが、多くの場合、ローカル データはクラウド上のデータよりも簡単に傍受される可能性があります。
それで、iCloudは信頼できますか?
より広範な iCloud 侵害が発生したことを示す証拠が見つかるまで (または iCloud がこれらの事件に関与していたという確認さえ得られない限り)、iCloud が安全ではないと信じる理由はありません。
ユーザーが自問すべきより重要な質問は、iCloud、Google、OneDrive、Dropbox のいずれを使用しているかに関係なく、自分自身を信頼できるかどうかです。
これはつまり:
アカウントとデバイスで安全でユニークなパスワードを使用する
可能な場合は 2 要素認証を使用する
コンピュータと電話アカウントのロックとパスワードを有効にする
最新バージョンのオペレーティング システムを実行する
これらの手順だけでデータが常に安全であることが保証されるわけではありませんが、攻撃者によるアカウントへのアクセスを最小限に抑えるには大いに役立ちます。