Apple IDのパスワードが漏れるとMacを乗っ取られてロックされてしまう!?

iPhoneやiPad、MacなどのApple製品を使っている人にはお馴染みのクラウドサービス「iCloud」。Appleのアカウント「Apple ID」にログインすれば利用でき、メールや自分のApple製品をインターネット上で探す機能などが提供されています。

またiPhoneなどのデータをバックアップできるほか、写真をクラウド上に保存したり、最新の「iOS 11」ではファイルアプリが導入され、より便利にiCloudを活用できるようになりました。

ところで、みなさんはそんなiCloudを利用するためのApple IDで設定しているパスワードをきちんと他のWebサービスと違うように設定しているでしょうか?覚えるのが面倒だからといって、パスワードの使い回し……していませんよね?

実は、海外でパスワードの使い回しとiCloudのとある仕様のせいで、2段階認証を設定しているにもかかわらず、Macbookを乗っ取られてしまうという事案が発生したということです。

【iCloudの仕様に落とし穴】

icloud-02

iCloudにApple IDでログインし、設定を行うことでWeb上の「iPhoneを探す」メニューから、iPhoneだけでなく、MacBookなどのApple製品が今どこにあるか分かる機能が搭載されています。

この機能は、iPhoneやMacBookなどをどこかに忘れてしまったり、盗まれてしまったりした場合に場所を特定するだけでなく、悪用されないようにパスコードを設定してロックをかけたり、メッセージを表示したりすることができます。

そんな便利な機能ですが、例えば、2要素認証を設定した状態で唯一、iCloudに紐付いているiPhoneを落としてしまった場合にどんな問題が発生するでしょうか。

icloud-01

それは、パソコンでiCloudにログインすると、2要素認証が働き、失くしたiPhoneに表示した「パスコードを入力するように」と表示されてしまうのです。

しかし、手元にiPhoneがないわけですから、パスコードが何か分かりません。これでは「どうすることもできないじゃないか!」といったデッドロックに陥ってしまうため、Appleは下記のような仕様を採用しています。

iCloudに登録しているデバイスが一切手元にない場合、2要素認証を回避して「iPhoneを探す」機能が利用できる。

これで、iCloudにログインしている製品が手元になくても「iPhoneを探す」が使えて一件落着となるはずです。

ただし、もしiCloudで利用しているApple IDのパスワードを他のWebサービスと同じにしていて、かつ、他のWebサービスからアカウント名とパスワードが漏洩してしまっていた場合、この仕様が仇となってしまいます。

要は、Apple IDのパスワードさえ分かっていれば、悪意のある第3者でも「iPhoneを探す」機能が利用できるわけですから、そこから各製品の場所を特定するだけでなく、「パスワードをロックして」かつ「画面にメッセージを表示」できてしまいます。

となると、例え、2要素認証を利用していたとしてもパスワードが使い回されている場合や推測されやすいものに設定していると、最悪、自分の製品が悪意のある第三者に乗っ取られてしまう可能性があるのです。

【海外で実際に起きた事例】



この攻撃の被害に遭った可能性のある人が実際に海外におり、その人がTwitterで被害の状況を投稿しています。彼は米軍兵士をしているJovan氏で、2017年9月17日7時26分(日本時間)に上記のツイートを画像付きで投稿しました。

Jovan氏は、MacBookが勝手にロックされてハックされてしまったつぶいています。投稿されている画像を見てみると、MacBookがiCloud経由でロックされており、「ロックを解除するには0.01BTC(約50ドル)支払ってください。支払が確認できたらロックを解除するパスコードをメールで(恐らくiCloudメール宛て)教えてあげるよ。」といったメッセージが表示されています。

こうなってしまうと、ロックを解除するには身代金(約50ドル)を支払うしかありませんが、身代金を支払ったからと言って、必ずしもロック解除のためのパスコードが送信されてくる保証はどこにもありません。

しかもすでにiCloudのパスワードがばれてしまっているので、支払ってもすぐにまたロックされてしまうかもしれません。

今回の件を見て、パスワードの使い回しがいかに危険なものか分かって頂けたのではないでしょうか。もちろん使い回しているパスワードがばれなければこんなことは起きないのですが、100%安全なWebサービスなどこの世に存在しません。

被害に遭っていない今だからこそ、パスワードの使い回しの危険性を感じ、Apple IDのパスワードを変更すべきです。

パスワードをいくつも覚えられないという人もいるかもしれませんが、残念ながらインターネットともに生きるようになった私達にとって、これは必須のスキルなので、特定の決まった文字列に1文字だけ変えるなど、うまく覚えやすいルールを作るなどしておくと良いと思われます。

記事執筆:YUKITO KATO


■関連リンク
エスマックス(S-MAX)
エスマックス(S-MAX) smaxjp on Twitter
S-MAX - Facebookページ
Hackers Using iCloud's Find My iPhone Feature to Remotely Lock Macs and Demand Ransom Payments - Mac Rumors