Headline News!

25 March

Apple IDのパスワードリセットに脆弱性。修正済み

  • 2013年3月25日
  • category : Apple
  • tag :

既に修正されましたがApple IDのパスワードリセットに脆弱性が発見されたようです。
その他二段階に認証についても解説しています。

他人の Apple ID をメールアドレスと誕生日だけでリセットできる脆弱性が見つかったと…

メールアドレスと誕生日だけでリセットされてしまうという聞いただけで恐ろしくなるような脆弱性です。

パスワードリセットハックの方法は、パスワードリセットページで対象ユーザーのメールアドレスを入力し、「秘密の質問に答える」のほうを選んだあと、「ある加工したURLを使う」もの。詳細は伏せますが、特に技術的な知識は必要ない単純な方法です。

こういったアカウントに対する攻撃は専門知識を持っていることが前提のケースが多いですが、今回のものはURLを加工しただけで実行できてしまうお手軽(?)な仕組みです。
既にApple側で対応されたようで現在は実行することができません、ご安心いただければと思います。

Appleは先日二段階認証の提供を開始したばかりですが、今回の件はその二段階認証を有効にしていない(または提供されていない)ユーザーが対象となっており、なんともタイムリーな話になってしまいました。

※二段階認証とは
アカウント情報の変更や有料のアプリ等を購入する際に、従来ならID・パスワードの入力だけで完了しますが、二段階認証を有効にするとID・パスワード入力後端末に数桁の確認コードが送られて、それを更に入力するというものです。
ID・パスワードが漏れた際の不正利用を防止するシステムです。同様にGoogleアカウントでも二段階認証を実装しています。

Appleではこの二段階認証を3月21日から対応していますが、現在は米国や英国、アイルランド、ニュージーランドなどの一部の地域のみ。順次対応地域を増やしていくと発表しています。
日本では未定ながらも今後対応される予定です。

engadget ja:Apple IDのパスワードリセットに脆弱性。修正済み

二段階認証

  • TOPへ戻る
  • Tweetボタン
  • いいねボタン
  • Google+ボタン
  • はてブボタン
  • POCKET