iTunesのアカウントハックの詳細


メアドをそのままIDとして使わせる/使えるサイトって、「あれいいのかなぁ」と最近思う。


IDとしてメアドを使わせないように変更してもセキュリティリスクは変わらないように思えるかも知れないが、現実的にはセキュリティリスクはかなり違う。


あなたがどこかのサイトに会員登録するとしよう。メアドとパスワードの入力を求められたとき、どうするだろう。メアドと対にして使っているパスワード(メールのpop用のパスワードなど)をそのまま使ってしまわないだろうか。そうするとひとつのサイトでメアドとパスワードが流出すると、その他のサイトでも同じパスワードを使い回していたりして、そのままアカウントを乗っ取られる。


メアドをそのままIDとして使えないサイトの場合だと、
1) サイト側がIDを決める(nifty12345みたいな形で)
2) 自分でIDを決める
の二通りなのだが、1)の場合、流出しても他サイトで使っているID名とは異なるので他のサイトで二次被害が出ることはない。


また2)の場合でも、会員数の多いサービスだと重複していて希望のものはなかなか取れない。その結果、「akemi2011jpOsaka」のような後ろに修飾がついた変なID名になる。この場合もこのIDとパスワードが流出したところで他のサイトで使えたりはしない。


そう考えるとメアドとパスワードのペアで決済させるサイトってかなりまずいんじゃないかと思う。特にApple IDとかその最たるもので、メアドをそのままApple IDとして使えて、App Storeで決済まで出来てしまう。



というのが前置きで(長くてごめん)、以下、本題。



App Storeでは最近、アカウントにチャージしてあるお金が不正に使われる被害が多発している。
Slashdotの次の記事を見た人も多いと思う。


iTunes Store にてアカウントにチャージしたクレジットが無断で使われる被害
http://slashdot.jp/security/article.pl?sid=11/07/27/011236


この記事のネタ元は次の毎日新聞の記事だ。
http://mainichi.jp/life/electronics/news/20110725k0000e040069000c.html


それで、その毎日新聞の記事の情報提供元は、この私で、私はiPhoneACの次の記事を見て知った。


詐欺アプリ? アカウントハック? 明珠三国OL に注意!
http://iphoneac-blog.com/archives/5372511.html


ちなみに、私は毎日新聞社からこの件に関して情報提供料は1円ももらっちゃいない。私が鼻くそほじりながらネットサーフィンして見つけた情報を新聞社に提供してお金をもらっているような奴だとか思われたら心外だから、念のために書いておく。



それで、なぜiTunesにチャージされているお金だけが狙われたかと言うと、いままで使ったことのない端末でApple IDを初めて使って決済するとき、クレジットカードのセキュリティコード(クレジットカードの裏面に書かれている3桁の数字)の入力を求められるからだ。チャージされているお金を使うだけなら、このセキュリティコードの入力は不要なのだ。


「明珠三国OL」というアプリと、同じ開発元の「帝国Online」というアプリでこの不正利用の被害に遭っている人がたくさんいるようで、開発元が自ら不正利用なんかしているとも思えないし、ゲームを見たところ、そこそこ作り込んであるゲームのようだし、このゲームの熱狂的なファンが悪さをしていることは間違いないと思う。


犯人がすぐに捕まるのかだとか、このメアドとパスワードはどこから漏れたものなのかだとかに私は興味があったので、新聞記者の人にAppleの日本法人(アップルジャパン株式会社)に取材してもらった。



ところがアップルジャパン、土日は対応できる人が居なくて、月曜になって本社に問い合わせてみますって話になって、日本法人の担当者はたいそう詳しく本社に報告したそうなのだけど、翌日になっても本社からは返答なしだそうで、調査中なのか、それとも捨て置けという本社の判断なのかよくわからない状態なのだそうだ。


確かに状況的に見て、iTunesのアカウント自体が漏洩したとは考えにくいので、アップルの本社としては、急いで対応する事案ではないのかも知れない。



それで話がこの記事の冒頭のところに戻って、メアドとパスワードだけでチャージしてあるお金が使えていいのかという話になるわけだ。



自衛手段としては昔からよく言われているように「サイトごとにパスワードを別のものにして、かつ定期的に変更しましょう」というところに行き着くのかも知れないが、同じパスワードを複数のサイトで使い回しているような人が定期的にパスワードを変更できるはずもなく、また、すべての会員制サイトで定期的にパスワードを変更するというのも現実的な運用とは言いがたい。


結局のところ、「メアドとパスワードだけで決済できるサイト(アカウントハックによって金銭的被害の出るサイト)は、要注意サイトで、そこのパスワードだけは他のサイトで使っているものを使いまわさない。」というところに落ち着くのではないかと思う。


もちろん、パスワードはbrute forceなどでアタックされても大丈夫な程度の複雑さを備えていなければならないが。