Apple

61 記事

applestore

アプリストア利用の3つの黄金律

便利なアプリや楽しいゲームが揃ったアプリストアにも、数々の危険が潜んでいます。iOSユーザーもAndroidユーザーも、3つの「黄金律」を守ることでアプリストアを安全に利用できます。

ios7ロック迂回-featured

iOS 7にロック画面迂回のバグ

Appleのモバイルデバイス向けの新しいオペレーティングシステムには明らかな欠陥があり、それを悪用すると、セキュリティコードを入力してデバイスをロック解除することなく、だれでもユーザーの連絡先情報やソーシャルメディアアカウントにアクセスできます。 ZDNetによると、現在広く報道されているこのエクスプロイトは、カナリア諸島に住む兵士が最初に発見したといいます。同氏は9月17日の火曜日、この脆弱性を詳細に説明するビデオをYouTubeにいち早く投稿しました。このビデオでは、Forbes.comの記事で説明されている通り、ロック画面を迂回する手順について詳しく述べています。 誰でもこのバグを悪用できる。まず、ロック画面で上方向にスワイプしてこの電話の「コントロールセンター」にアクセスし、タイマーを開く。スリープボタンを長押しすると、[スライドで電源オフ]オプションが出てくるが、ここで[キャンセル]をタップしてホームボタンをダブルタップすると、マルチタスク画面にアクセスできる。ここから、カメラや保存されている写真にアクセスできる。また、これら写真をこのユーザーのメールやTwitter、Flickrのアカウントから共有することも可能だ。  この欠陥は本質的に広範囲に及ぶもので、上で説明した手順を通じてユーザーの写真とその写真の共有機能に自由にアクセスできます。これには、ソーシャルメディアアカウントやメールへのアクセスも含まれ、さらにiMessageで写真を送信するオプションを選べば、ユーザーのすべての連絡先とそこに保存された情報にアクセスできます。 報道によれば、Appleはこの問題を認めており、今後のソフトウェアアップデートで修正する予定だとしています。 報道によれば、Appleはこの問題を認めており、今後のソフトウェアアップデートで修正する予定だとしています。 パッチ適用までの間は、ロック画面でのコントロールセンターへのアクセスを無効化することで、この問題を防ぐことができます。[設定]から[コントロールセンター]に行き、[ロック画面でのアクセス]をスワイプしてロック画面でコントロールセンターを表示させないようにします。 コンピューターやモバイルデバイスなどの新しいオペレーティングプラットフォームでは、最初の公開時にバグがあるのはほぼ予想されたもので、Appleもそういった問題をめぐる議論を知らないわけではありません。2012年にiOS 6の提供が開始されたとき、Appleはそれまで搭載されていたGoogle Mapsアプリを廃止して、自社製の不完全なナビゲーションツールであるApple Mapsに置き換えました。このアプリではいつも、目的地を適切に検索できず、不正確な道順が示されました(それが命にかかわるような状況まで生んでいます)。また、そのGPS機能を使った位置情報は間違っていました。普段は誤りを認めることのないAppleですが、このときはアプリの欠陥を公式に認めて、結局そのデザイナーを解雇しています。 創設者であるスティーブ・ジョブズ(Steve Jobs)氏が2011年に亡くなってから、初めてのオペレーティングシステムに対する大がかりな見直しとして強く期待されていたiOS 7は、セキュリティ上の大きな失敗もあり、Appleにとって残念な結果となりました。 追記:この不具合を修正するソフトウェアアップデート、iOS 7.0.2が日本時間9月27日にリリースされました。

iphone指紋スキャナー-featured

iPhone 5sのTouch ID指紋スキャナー:知っておくべきことは?

Appleは新しい主力スマートフォンでのユーザー保護を強化します。生体認証はついに一般化するかもしれません。これは良いことなのか悪いことなのか、そしてどのような影響が考えられるでしょうか。 この機能搭載の裏にある意図を気にする方があるかもしれません。Appleは、米国家安全保障局(NSA)の友人を喜ばせ、米連邦捜査局(FBI)の捜査官のために納税者の指紋を収集することだけが目的で生体認証を導入するわけではなさそうです。Appleは、指紋が(写真ではなく)特別に生成される形式で常にローカルに保存され、インターネットに送信されることはないと明言しています。さらに、指紋スキャナーとTouch IDを使用できるのはiOS自体だけで、サードパーティアプリでは利用できません。さて、こうした制約によって何を守ることができるのでしょうか。 非常に多くのものが守られるでしょう。まず明らかなのは、正当な所有者が自分のスマートフォンをずっと簡単にロック解除できるようになることです。シンプルにホームボタンを押すだけで、内蔵の容量性センサーが即座に指紋を認識し、「ホワイトリスト」に登録された人物のアクセスを許可します。権限がなかったり、手袋をしたままだったりすると、指紋を認識できないというメッセージが表示されます。この場合、バックアップ用のパスワードを入力する必要があります。また、手袋をはめていなくとも、寒い天気のとき、手がぬれていたりローションを塗っていたりするとき、または傷がついている、やけどしているときなどには、このテクノロジーが機能しない可能性があります。そのため、パスワードを記憶しておくのは依然として重要です。さまざまなときにお世話になることでしょう。 iTunesやApp Storeでの買い物の承認など、iOSがパスワードを求める場面では、Touch IDによるチェックが必要となります。 iTunesやApp Storeでの買い物の承認など、iOSがパスワードを求める場面では、Touch IDによるチェックが必要となります。使い勝手をよくするため、左右の複数の指を登録しておくことをお勧めします。 もちろん、新しい保護メカニズムが十分に強固で安全かどうかはとても興味深いことです。前に述べたように、生体認証センサーは完全ではありません。Touch IDを導入するため、AppleはAuthentecを買収しました。Authentecは、とても面白い生体認証技術を開発する専門企業です。スキャナーは皮膚隆線だけでなく、表皮下の層も読み取ります。これによって、指紋の偽造ははるかに複雑になります(ちなみに、指の切断も無意味です)。iPhone 5sが主流になるときには、知りたがりのハッカーによって新しいセンサーのぜい弱性がおそらく発見されるでしょう。ただし現時点では、そういったぜい弱性の情報はなく、ぜい弱性が存在するかどうかについても分かっていません。 使い慣れたパスコードロックと今までにない指紋認証による保護。どちらを選択するのかは、簡単なことではありません。パスコードはのぞき見されやすく、入力にも時間がかかります。指紋の方は偽造が困難で使いやすい一方、あなたのデータを何としても必要な人は、無理矢理にでもスマートフォンにタッチさせようとするかもしれません。もちろん、このような状況は実際の生活ではなくハリウッドのアクション映画にこそふさわしいものでしょう。ただ、本当に価値のある情報を保有している場合には、このことを頭に入れて、可能であればスマートフォンにはそういった情報を保存しないようにする必要があります。 「普通の人々」について話すなら、Appleの新しい技術を恐れる必要は今のところなさそうです。しかし、Appleは次の段階として、購入を承認するための第一の認証に指紋認証を使用した、独自の支払いシステムを導入するという推測もあります。その場合、指紋がネットワーク上で送信されるのは避けられそうにありません。そしてそのような使用事例は、ハッカーにとって、主流の客層に対する標的型攻撃を開発するための十分な理由になります。自分の指紋が悪人の手に渡るのが心配ならば、支払いシステムやその他エコシステムの開発について耳にしたら、Appleの生体認証を使用するかどうか考え直してください。その開発は、指紋の使用範囲を広げることが前提となっている可能性がありますから。 追記: 販売開始のわずか2日後、ドイツをベースに活動する「Chaos Computer Club」のハッカーたちが、お金をかけずに簡単にiPhone 5sの指紋認証センサーをハッキングする方法をブログにて公開しました。これによると、5sのセンサーは旧モデルとほとんど違いがなく、解像度が上がっているだけだとしています。

AppStoreの不正アプリ-featured

AppleのApp Storeに混入する不正アプリ

iOSのセキュリティとAppleによるApp Storeの管理方法については、耳にしたことのある方も多いでしょう。実際、AppleはiOSの提供を開始したときからセキュリティに関して優れた手腕を発揮して、悪意のあるプログラムをブロックおよびフィルタリングしてきました。しかし、App Storeで配布された悪意のあるアプリについてのインシデントもいくつか存在します。Appleのコントロールもすべてが完ぺきではなく、悪意を持つ開発者たちがApp Store上で不正アプリを公開するのを防ぎ切ることはできません。こうした開発者たちの目的はモバイル向けマルウェアの作成者と同じで、ユーザーの金銭を盗むこと、そして悪意のあるプログラムをよく調べずに購入させることです。 こうした不正アプリは、迷惑電話のブロックやロック画面の変更など、iOSには元々存在しない機能をアピールしてユーザーの注意を引きます。開発者はどのようにしてAppleの厳重な管理をかいくぐり、不正アプリを公開できているのでしょうか。確かなことは分かりません。 iTunes Storeで単純に「block calls」(着信拒否)と検索すると、4.99ドルと1.99ドルの2種類の不正アプリが見つかります。 現行のiOS 6の仕組みでは、サードパーティアプリが着信をブロックするのは不可能なため、これらのアプリは不正なものです。アプリは米国、メキシコ、ブラジルのiTunes Storeで公開されていたようで、詐欺の犠牲者となった複数のユーザーが払い戻しを求めています。 メキシコのiTunes Storeでは、別の不正アプリも公開されていました。このアプリは指紋をスキャンしてデバイスへのアクセスとブロックを管理するというばかげたもので、こちらも現在までに発売されたiPhoneには存在しない機能です。   iPhoneユーザーにとって良い知らせなのは、迷惑電話のブロックなど、待ち望まれた新機能がiOS 7でいくつか実装されることです。もしもこうした機能を探しているなら、新しいシステムの提供を待ちましょう。 不正アプリによる損害の発生を防ぐため、すべてのiOSユーザーには、アプリ購入の前にレビューを読み、評価をチェックすることをお勧めします。iPhoneに存在しない魔法のような機能を信じないようにしましょう。Appleが許可しないことを実行できるアプリはありません。 もしも詐欺の被害に遭ったときには、以下の手順に従ってAppleに返金を求めることができます。 iTunesを開いて、右上にあるiTunes Storeのリンクを選択 左上隅付近にあるユーザー名(メールアドレス)をクリックして、[アカウント]を選択 画面の中ほどにある[購入履歴]セクションで[すべてを表示]をクリック 画面下部にApp Storeでの購入履歴が表示されたら、[問題を報告する]ボタンをクリック 返金を求めるアプリケーションのiTunesの請求書を探して、[問題を報告する]というリンクをクリック リンク先のフォームを可能な限り詳細に記入して、終了したら[送信]をクリック 返金依頼の理由が正当であれば、Appleは数日以内に対応して、1週間以内には払い戻しが行われるはずです。 不正アプリにだまされないよう気をつけましょう。

Apple安全神話の終焉

Appleと、同社を神のごとく崇めるユーザーは、Apple製品がマルウェアのないプラットフォームであることを長きにわたって誇りとしてきました。そのような時代が終わったことに議論の余地はありません。カリフォルニア州クパチーノに本社を置くIT大手Appleは、モバイルコンピューティング市場の黎明期に成功を収め、(少なくとも過去2年間は)従来型のコンピューターとラップトップの市場でシェアを拡大しており、かつてはAppleを標的にしてもお金にならないと考えていたサイバー犯罪者も、同社に関心を寄せるようになりました。 新たな厳しい現実として、Appleを含めどんなプラットフォームも脅威とは無縁ではありません。むしろAppleはさまざまな方向から包囲されていると言えます。攻撃者も研究者も、Appleのモバイル製品、従来型コンピューター、そしてリモートアクセス可能なクラウドサービスにもぜい弱性を発見し、エクスプロイトを作成しています。 AppleのモバイルオペレーティングシステムiOSは、iPhoneまたはiPadからコンピューターへのテザリング機能がありますが、先ごろドイツの大学の研究者チームが、テザリングの事前共有鍵の設定に使われる既定のパスワード生成式をリバースエンジニアリングしました。事前共有鍵は1つの単語に4桁の数字を付け足したもので、iPhoneから別のマシンをインターネットに接続するときにユーザーを認証します。Appleがこれらの事前共有鍵を生成する方法に一連の弱点を発見した研究者らは、iOSのテザリング用パスワードを1分未満で確実に(百発百中で)クラッキングすることに成功しています。 Android風とも言われるiOS 7のロック画面は、ベータ版のリリース直後にスペインのユーザーによって簡単に迂回されてしまいました。公平を期すために言っておくと、これはベータリリースです。ベータ版は一般的にバグが多いものですが、今回迂回されたのは多くのユーザーがダウンロードしたパブリックベータでした。 今年に入ってAppleは優れた2段階認証ツールを作成しましたが、iForgotというバグの多いパスワードリセットサービスを伴っていたため、少しのあいだ提供を中断しなければなりませんでした 非常に多くのユーザーが使用するAppleのミュージックプレーヤーiTunesと、絶大な人気を誇るアプリケーションマーケットプレイスApp Storeは、これまでもかなりのフィッシング攻撃やアカウント乗っ取りを受けてきました。こうしたフィッシング攻撃やアカウント乗っ取りは、Apple固有のものでもなければ、無視できる程度のものでもありませんでしたが、AppleのユーザーIDと支払い情報を狙ったフィッシング攻撃が最近になって劇的に増加しています。Apple IDはユーザーが自分のすべてのAppleアカウントとデバイスにアクセスするための鍵のようなものです。 今年に入ってAppleは優れた2段階認証ツールを作成しましたが、iForgotというバグの多いパスワードリセットサービスを伴っていたため、少しのあいだ提供を中断しなければなりませんでした。 Kaspersky LabのNadezhda Demidovaはこの傾向を分析するなかで次のように述べています。「詐欺師は公式のapple.comサイトを模倣したフィッシングサイトを利用します。2012年初頭から現在までの間に、こうしたサイトにアクセスしようとするカスペルスキー製品のユーザーをWebアンチウイルスが検知した件数が大幅に増加しました。この期間の1日当たりの平均検知数は約200,000回です。一方、2011年の検知数は1日あたり1,000回でした。」 新種のMacマルウェアはかつてないペースで登場しています。つい先日も、FBIを装ってOS Xユーザーを狙う、ランサムウェアを使った詐欺についての記事を書きました。また、ウイグルやチベットの活動家を狙ったMacマルウェアについての記事を1か月間読まない(あるいは自分で書かない)ことはないように思えます。また、OS Xのバックドアもありましたし、オスロで開催された監視対策のワークショップで研究者がMacマルウェアの新たな亜種を公開したというケースもありました。 先日はAppleの開発者向けサイトに攻撃者が侵入しました。侵入の目的は明らかになっていませんが、この攻撃者の標的がWindowsユーザーでないことは間違いないでしょう。 他にも、全プラットフォーム共通の多様な脅威が数多く存在します。ホストコンピューターのオペレーティングシステムを特定する能力を備え、OSへの侵入に適した悪質スクリプトを含むものです。 突き詰めていくと、どのプラットフォームを使っているかはあまり問題になりません。盗むお金があれば、つまり探す価値のある情報があれば、あなたのコンピューターも標的として成立します。ユーザーにできることは、常に用心し、強力なセキュリティ製品を使用して、すべてのソフトウェアを最新の状態に保つことです。

アップルフィッシング-featured

偽りの果実の誘惑

Appleのオペレーティングシステムは、サイバー犯罪者の攻撃に強いと一般的に信じられています。かつてはその通りでしたが、Appleユーザーはフィッシング攻撃者にとってますます魅力的な標的になっています。ユーザー数が増え続けており、ほとんどの顧客がクレジットカード情報をApp StoreやiTunes Storeに登録しているからです。 Appleは、アプリを事前審査するiOS App Storeを開設して大きな成果を上げ、その後Mac App Storeもリリースしました。これにより、サイバー犯罪者は悪質アプリをユーザーのデバイスに取り込むことが非常に難しくなりました。ユーザーがMacにソフトウェアをサイドローディングしなければ、なおさらです。セキュリティについて心配する必要はまったくないように思えますが、それは大きな間違いです。Mac向けのマルウェアは実在するものですし、まん延しているサンプルもあるのです。 しかし、心配なのはマルウェアだけではありません。新しいMac、iPad、iPhoneをはじめ、Apple製デバイスを使うには、ある種のデジタルパスポート、Apple IDを取得する必要があります。Apple IDは、iTunes、App Store、Appleオンラインストアで共通のもので、ほとんどのユーザーは、クレジットカードをApple IDと紐づけて多様なAppleエコシステムから製品やサービスを購入することを選んでいます。しかしこれが、脅威を呼び込むことにもなります。 サイバー犯罪者の手にIDが渡れば、iCloud内のすべての情報にアクセスされる恐れがあります。その情報を売ってお金を儲けることも、ユーザーのふりをして買い物をすることも可能になってしまいます。 apple.comを装った偽サイトによるフィッシング手口は数多くあります。詐欺師はよく、「Appleサポート」からのもっともらしいメールを大量に送信し、ユーザーにIDを確認するよう求めます。このメールを注意して見てみると、細かいところで怪しい点がたくさん見つかるはずです。 リンク: 詐欺師はアドレスのどこかに「apple」の文字を入れてフィッシングサイトであることを隠そうとします。また、bit.lyなどの短縮URLもよく使います。Appleサポートが短縮URLや、apple.com以外のサイトを使うことはまずありません。 アドレスバー: フィッシングサイトの見た目はapple.comにそっくりです。しかし、注意してアドレスバーを見ると、apple.comではなく別のサイトであることが簡単にわかるでしょう。必ずアドレス全体を確認してください。携帯電話やタブレットのブラウザーを使用しているときは、特に注意が必要です。小さな画面ではサイトのアドレスが隠れていることが多いので、Webサイトのタイトルをクリックするか、上の方にスクロールしてアドレスをチェックしましょう。 差出人のアドレス: メールの差出人のアドレスが本物っぽく見えるかもしれませんが、送信者のアドレスを偽装することはそれほど難しくありません。メールヘッダーをよく確認して元の送信者をダブルチェックしましょう フィッシング詐欺師が欲しいのはあなたのApple IDです。サイバー犯罪者の手にIDが渡れば、iCloud内のすべての情報にアクセスされる恐れがあります。その情報を売ってお金を儲けることも、あなたのふりをして買い物をすることも可能になってしまいます。犯罪者は、追加のフォームを使用してクレジットカードをApple IDに再登録するように要求することがあります。要求された情報(カード番号やセキュリティコードなど)を入力すると、サイバー犯罪者がこのクレジットカードから直接お金を盗めるようになってしまいます。 このような脅威から逃れるには、Appleから再認証やデータの確認といったリクエストが届いたときに、十分に注意する必要があります。このケースに対処する最も安全な方法は、Appleサポートに電話して本当にそうする必要があるのか確認することです。また、メール内のリンクにアクセスする場合は注意しましょう。リンク自体をクリックするのではなく、URL(この例だとapple.com)をブラウザーのアドレスバーに手入力するのがよいでしょう。 セキュリティ強化のため、Appleアカウントで2段階認証を有効にすることをお勧めします。常に思い出してほしいのは、フィッシングは特定のプラットフォームだけを狙う脅威ではなく、どんなデバイスやOSを使用していても被害者になる可能性があるということ。だからこそ、今ではインターネットに接続するすべてのデバイスに保護が必要なのです。コンピューターにも、スマートフォンにも、タブレットにも必要です。犯罪者を引きつけるのはあなたのお財布です。したがって、犯罪者を撃退するものが必要になります。