iOSのテザリング用パスワードは1分以内に破られる

iPhoneを使ってテザリングするときは注意しましょう。というのも、ドイツのフリードリヒ・アレクサンダー大学エアランゲン・ニュルンベルクの情報科学学部の研究者グループが、Appleのテザリング用パスワードを1分とかからずクラッキングするソフトウェアを開発したのです。 この研究で、AppleのiOSは、ユーザーが覚えやすいように4~6文字の単語を基にしたぜい弱なパスワードを生成することが明らかになりました。単語の後に4桁の数字が続きますが、これでは複雑さはあまり変わりません。このようなパスワード認証の問題はもちろん、ハッカーが簡単にクラッキングできてしまう(そして実際に狙われる)という点です。このことは、研究者のAndreas Kurtz氏、Felix Freiling氏、Daniel Metz氏が、無線セッションをテザリングするiOS(バージョン6以下)を、総当たり攻撃で乗っ取ることによって証明しました。 ここでの総当たり攻撃とは、ハッカー(あるいは研究者)が、辞書に載っているすべての単語をパスワード認証欄に入力して任意のパスワードを推測するというツールを使用するものです。 辞書ベースの総当たり攻撃は、時間がかかり大量のリソースを消費するものの、一般的に大きな効果があります。英語の辞書にあるすべての単語を使ってパスワードの強度を試すのはもちろんのこと、特に効果的な総当たり攻撃は、文字や一群の単語の代わりに数字が使われたスペルのバリエーションのほか、使用済みのパスワードも試します。過去数年で漏えいしたパスワードのデータベースが出回っており、攻撃者はこうしたさまざまなデータベースからパスワードを集めているのです(近年相次ぐデータ漏えいでは、攻撃者はぜい弱なサーバーに保存されたパスワードのリストを盗んで、誰でも見られるフォーラムに投稿しています)。 良いパスワードというのは、程度の差こそあれ、総当たり攻撃の影響を受けにくいものです。Appleのテザリング用パスワード生成の主な弱点は、(覚えやすいように)単語に依存していることだけでなく、4~6文字のごく限られた単語と、極めて限定的な4桁の数字の組み合わせに依存していることです。どう考えても、研究者らが投入した処理能力の前には、単語の後に4桁の数字をつけたところで、パスワードの複雑さにそれほど影響はありません。 Appleのテザリング用パスワード生成の主な弱点は、(覚えやすいように)単語に依存していることだけでなく、4~6文字のごく限られた単語と、極めて限定的な4桁の数字の組み合わせに依存していることです。 研究者は、インターネットから集めた4、5、6文字の単語52,500語からなるオープンソースのスクラブル用辞書を、総当たり攻撃に使用しました。4~6文字の単語は他にもたくさんあるにもかかわらず、成功率は100%でした。しかし、パスワードのクラッキングには49分もかかってしまいました。 この49分という長すぎる結果に満足できなかった研究者たちは、ちょっとしたリバースエンジニアリング(詳しくは述べませんが)を行った後に、iOSの内部に英語の辞書ファイルを発見しました。テザリング用パスワードの生成に実際に使われていたのは、この辞書だったのです。興味深いことに、iOSはこの辞書を使って、ユーザーが入力し終える前に入力内容を予測しています。つまり、単語を途中まで入力したときに、単語全体が(ときには間違った単語が)テキストの上の欄に表示される機能を、この辞書が可能にしているわけです。ともあれ、研究者は、可能性のある52,500語を、もっと扱いやすい1,842語まで絞り込み、これらの単語を実際の対象としました。 そう、AppleのiOSのテザリング用パスワードは、1,842語のうちの1語に、4桁の数字を付け足したものなのです。これにより、テザリング用パスワードを破るのに必要な時間が96%短縮されました。 しかし、話はそれだけではありません。iOSがこれらの単語を選ぶアルゴリズムが偏っており、特定の単語が他の単語よりも頻繁に選ばれることも明らかになりました。最も頻繁に選択される単語の上位10語は、suave、subbed、headed、head、header、coal、ohms、coach、reach、macawsです。この10単語は、既定のパスワードとして選ばれる確率が他の単語の10倍でした。そのため、攻撃をスピードアップすることが可能になりました。こうした情報と、強力な計算能力を用いることで、iOSのテザリング用パスワードを50秒で確実にクラッキングできました。参考までに、このタスクに使用したコンピューター群は、1秒間に390,000回の推測を実行します。 私はいつも記事の最後で身を守るためのアドバイスをいくつか紹介していますが、今回はシンプルなアドバイスです。iPhoneを使ったテザリング(インターネット共有)には、強力なパスワードを手作業で設定してください。実際のところ、これは非常に多様化した脅威のように見受けられるので、他の携帯電話やタブレットでも既定のパスワードは使わないようにしましょう。研究者らは、この攻撃方法が他にも多くのモバイルプラットフォームで使えると考えているからです。

hack_iphone

iPhoneを使ってテザリングするときは注意しましょう。というのも、ドイツのフリードリヒ・アレクサンダー大学エアランゲン・ニュルンベルクの情報科学学部の研究者グループが、Appleのテザリング用パスワードを1分とかからずクラッキングするソフトウェアを開発したのです。

iphoneテザリング-title

この研究で、AppleのiOSは、ユーザーが覚えやすいように4~6文字の単語を基にしたぜい弱なパスワードを生成することが明らかになりました。単語の後に4桁の数字が続きますが、これでは複雑さはあまり変わりません。このようなパスワード認証の問題はもちろん、ハッカーが簡単にクラッキングできてしまう(そして実際に狙われる)という点です。このことは、研究者のAndreas Kurtz氏、Felix Freiling氏、Daniel Metz氏が、無線セッションをテザリングするiOS(バージョン6以下)を、総当たり攻撃で乗っ取ることによって証明しました。

ここでの総当たり攻撃とは、ハッカー(あるいは研究者)が、辞書に載っているすべての単語をパスワード認証欄に入力して任意のパスワードを推測するというツールを使用するものです。

辞書ベースの総当たり攻撃は、時間がかかり大量のリソースを消費するものの、一般的に大きな効果があります。英語の辞書にあるすべての単語を使ってパスワードの強度を試すのはもちろんのこと、特に効果的な総当たり攻撃は、文字や一群の単語の代わりに数字が使われたスペルのバリエーションのほか、使用済みのパスワードも試します。過去数年で漏えいしたパスワードのデータベースが出回っており、攻撃者はこうしたさまざまなデータベースからパスワードを集めているのです(近年相次ぐデータ漏えいでは、攻撃者はぜい弱なサーバーに保存されたパスワードのリストを盗んで、誰でも見られるフォーラムに投稿しています)。

良いパスワードというのは、程度の差こそあれ、総当たり攻撃の影響を受けにくいものです。Appleのテザリング用パスワード生成の主な弱点は、(覚えやすいように)単語に依存していることだけでなく、4~6文字のごく限られた単語と、極めて限定的な4桁の数字の組み合わせに依存していることです。どう考えても、研究者らが投入した処理能力の前には、単語の後に4桁の数字をつけたところで、パスワードの複雑さにそれほど影響はありません。

Appleのテザリング用パスワード生成の主な弱点は、(覚えやすいように)単語に依存していることだけでなく、4~6文字のごく限られた単語と、極めて限定的な4桁の数字の組み合わせに依存していることです。

研究者は、インターネットから集めた4、5、6文字の単語52,500語からなるオープンソースのスクラブル用辞書を、総当たり攻撃に使用しました。4~6文字の単語は他にもたくさんあるにもかかわらず、成功率は100%でした。しかし、パスワードのクラッキングには49分もかかってしまいました。

この49分という長すぎる結果に満足できなかった研究者たちは、ちょっとしたリバースエンジニアリング(詳しくは述べませんが)を行った後に、iOSの内部に英語の辞書ファイルを発見しました。テザリング用パスワードの生成に実際に使われていたのは、この辞書だったのです。興味深いことに、iOSはこの辞書を使って、ユーザーが入力し終える前に入力内容を予測しています。つまり、単語を途中まで入力したときに、単語全体が(ときには間違った単語が)テキストの上の欄に表示される機能を、この辞書が可能にしているわけです。ともあれ、研究者は、可能性のある52,500語を、もっと扱いやすい1,842語まで絞り込み、これらの単語を実際の対象としました。

そう、AppleのiOSのテザリング用パスワードは、1,842語のうちの1語に、4桁の数字を付け足したものなのです。これにより、テザリング用パスワードを破るのに必要な時間が96%短縮されました。

しかし、話はそれだけではありません。iOSがこれらの単語を選ぶアルゴリズムが偏っており、特定の単語が他の単語よりも頻繁に選ばれることも明らかになりました。最も頻繁に選択される単語の上位10語は、suave、subbed、headed、head、header、coal、ohms、coach、reach、macawsです。この10単語は、既定のパスワードとして選ばれる確率が他の単語の10倍でした。そのため、攻撃をスピードアップすることが可能になりました。こうした情報と、強力な計算能力を用いることで、iOSのテザリング用パスワードを50秒で確実にクラッキングできました。参考までに、このタスクに使用したコンピューター群は、1秒間に390,000回の推測を実行します。

私はいつも記事の最後で身を守るためのアドバイスをいくつか紹介していますが、今回はシンプルなアドバイスです。iPhoneを使ったテザリング(インターネット共有)には、強力なパスワードを手作業で設定してください。実際のところ、これは非常に多様化した脅威のように見受けられるので、他の携帯電話やタブレットでも既定のパスワードは使わないようにしましょう。研究者らは、この攻撃方法が他にも多くのモバイルプラットフォームで使えると考えているからです。

googleドライブ-featured

Googleドライブについて知っておくべきこと

1年ほど前のことです。ある朝起きてみるとGoogleドキュメントがなくなっていて、Googleドライブという奇妙な新サービスに変わっていました。後になって、このGoogleドライブが以前のGoogleドキュメントであり、どうも機能が増えて改善されたようだということが判明しました。今ではみんな、こういうことに顔色一つ変えません。どのみち驚くようなことでもなかったのです。なにしろGoogleは、自社の重要機能をリブランドするのが大好きなのですから。 機能:クラウドベースのビルトインサービスGoogleドライブは、標準で15GBのストレージを提供(つい最近までは5GB)しており、文書や写真、PDF、動画など、さまざまなものを保存できます。有料アップグレードもあり、月額2.49ドルで25GB、月額4.99ドルで100GBといった具合にストレージの容量を増やせます。PCやMacにダウンロードできるドライブが用意されており、ファイルをデスクトップに保存して、すぐさまクラウドに同期することができます。同様のダウンロード可能アプリはAndroid版とiOS版も提供されているので、この便利な機能をモバイルデバイスでも利用できます。 懸念:Googleドライブに関する懸念は多岐にわたります。単にGoogleが嫌いということから、セキュリティについてのもっともな疑問まで、さまざまです。そしてもちろん、あらゆるクラウドベースのストレージシステムと同様に、ユーザーはホストサーバーに翻弄されます。ホストサーバーが何らかの理由でダウンしたら(Googleドライブもこうした障害を免れません)、ユーザーは自分のファイルにアクセスできなくなるのです。したがって、信頼性に問題があり、ユーザー側の接続障害かGoogle側のトラフィックやサーバーの障害かにかかわらず、同期機能が問題になることもあります。 セキュリティ:セキュリティが万全なクラウドストレージシステムなど存在しませんが、GoogleドライブはGmailに直接リンクしているため、ブラウザーのウィンドウが開かれたままになっている場合や、アカウントが強力なパスワードで保護されていない場合は、ユーザーのファイルが簡単に悪用されてしまう恐れがあります。このようなセキュリティ侵害の結末は悲惨です。Googleがドライブ向けに公開しているセキュリティヒントはごく基本的なもので、強力なパスワード保護を使用することや、ドライブのフォルダーを共有デバイスにダウンロードしない、使い終わったらGoogleアカウントからサインアウトする、といったことしか書かれていません。 ソリューション:本当の意味でセキュリティを確保するためには、クラウドに保存しているすべてのものを、少なくとも1台の外付けハードディスクにバックアップする必要があります。バックアップディスクは安全な場所に置き、できれば、火事や盗難に備えて、自宅やオフィス以外の場所に置くのがいいでしょう。突き詰めていくと、情報の機密性が非常に高く、漏えいさせるわけにはいかないというファイルは、クラウドに保存するのはやめた方がいいでしょう。とはいえ、それ以外の点ではクラウドストレージは有用です。セキュリティを強化するため、必ずシステムセキュリティスイートを使用してください。たとえばKaspersky PURE 3.0(日本では未発売)は、高度なパスワードマネージャーを備えるほか、暗号化された特別な保存域に貴重な情報を格納することができます。また、カスペルスキー インターネット セキュリティのようなインターネットプロテクションスイートの保護機能を活用し、自分のデジタルIDとプライバシーを守りましょう。

googleドライブ-featured
ヒント