クラウドサービスからの情報流出を防ぐ方法

2014年9月4日

8月最後の週、あるニュースがインターネット上を駆け巡りました。誰ともしれないハッカー(1人の男性だという話も)がセレブのプライベートな写真を手に入れ、インターネット上で晒したのです。被害に遭ったセレブの中には、ジェニファー・ローレンス(Jennifer Lawrence)さんのようなハリウッドの著名人もいました。こういった写真の流出はこれまでも起きていましたが、今回のは大規模でした。また、事件が公になった当初から、一部の写真はセレブのiCloudアカウントから直接盗まれたと言われていました。そんなことは可能なのでしょうか。そして、こういった窃盗から身を守るにはどうしたらよいのでしょうか。

iCloudアカウント乗っ取り

ありそうな流出シナリオ

確固とした証拠は、今のところありません。AppleとFBIは捜査を開始し、私たちは続報を待っているところです。しかし、いくつかの事実から、複数の要因が重なれば不正アクセスは可能であったことがうかがえます。第1に、iCloudのプラットフォームには、ちょっとした欠陥がありました。パスワードを何回でも試せる仕様になっていたのです。たいていのWebサービスは、ログインに3〜5回も失敗すればアカウントがロックされます。iCloudの通常のインターフェイスではその制限がかかっていましたが、「iPhoneを探す」のインターフェイスには制限がありませんでした。このため、「総当たり攻撃」が可能だったのです。「総当たり攻撃」とは、一般的なパスワードを延々と(攻撃側がいい加減あきらめるか、うまいことログインに成功するまで)試すシステマチックな攻撃です。今回のケースでは、事件の数日前にプログラマーサイト「GitHub」に現れたオープンソースのアプリケーションが使われた可能性があります。

総当たり攻撃

第2の要因は、セレブの多くが強力なパスワードの鉄則を無視し、簡単なパスワードを使っていた可能性です。そのために、ハッカーは一般的なパスワードの上位500個を試すくらいで総当たり攻撃に成功し、目覚ましい成果をあげたと考えられます。

第3の要因は、もっとも重要です。Appleは、こうした攻撃に備えて2段階認証を実装していました。この効果的なツールが不当にも無視されていたことは、指摘するまでもないでしょう。

一部報道によれば、この不具合はすぐに修正され、月曜までにはiCloudに対する総当たり攻撃が不可能な状態になりました。少なくとも、先に述べた手口はもう効かなくなりましたが、他にもぜい弱性がないとは言い切れません。

AppleがiCloudや「iPhoneを探す」を入り口に攻撃を受けたのは、今回が初めてではありません。この夏、いくつかの国では、iPhone/iPadが突然ロックされるという恐喝事件がありました。ロックされた画面には「ロックを解除して欲しければ金を払え」という内容のメッセージが表示されました。この事件では「iPhoneを探す」が利用されていました。

自分自身と自分のデータを守る

今回の件では、私たちのプライバシーが近頃いかに脆いものになりつつあるかが証明された形です。セレブだろうが一般人だろうが、状況は同じです。クラウドベースのファイル保管サービスはインターネットユーザーの間で一般的に使われてきましたが、その利便性はいくつかの多大なリスクによって損ねられている状態です。

パスポートのスキャン画像のような重要な文書や画像をクラウド上に保管している人は、かなりいます。クラウドサービスのぜい弱性が、個人データのセキュリティを危うくしかねないにもかかわらず。クラウドのセキュリティと言えば、エンドポイント側でのセキュリティが見過ごされがちです。しかし、デバイスそのものも、データ流出の原因となり得ます。たとえばスパイ機能を持ったマルウェアがデバイスに感染し、クラウド上のファイルやログイン情報をサイバー犯罪者へ直接送ってしまうなどの可能性があります。

コンピューターやモバイルデバイス、クラウドサービスからの情報流出を防ぐため、Kaspersky Labのシニアセキュリティリサーチャー、クリスチャン・フンク(Christian Funk)は以下の対策を推奨しています:

  1. 強力なパスワードを使う。パスワードは、アカウントごとに違うものを使う。
  2. デバイスはクラウドサービスへの入り口となるので、デバイスを守るためのセキュリティ製品を導入する。
  3. 2段階認証が利用できる場合は、必ず利用する。
  4. クラウドに保管する情報と保管しない情報を仕分ける。自分個人に紐付くような情報は、クラウドに保存しない。
  5. モバイルデバイスは紛失したり盗まれたりしやすいので、モバイルデバイスには取扱注意な情報を入れておかない。どうしてもそれが無理な場合は、情報を暗号化する手段を探して講じておく。
  6. 特に重要な情報を保管するときは(写真や動画を撮影する場合も同様)、デバイスからクラウドへ自動アップロードされる設定になっていないか確認する。
  7. 個人情報をシェアするときや、誰かが自分の写真を撮るのを許可するときは、シェア先のデバイスや撮影に使うデバイスがきちんとセキュリティ手段を講じてあって不用意に情報や写真が公になる恐れがないことを前もって確認する。