iCloudアカウントハッキングに対して
iCloudハック事件の手口がガード不能すぎてヤバイという記事からガード不能過ぎてってあるが別に不能過ぎるわけではない。
そもそもソーシャルハッキングはそう新しいものではない。ここ10年ぐらいの話しで言えばだけどね。
さて、肝心のガード方法(?)だが、まずメールアドレスを使い分けるという事がキーとなる。
Tumblr、facebook、amazon、はてブとか様々なサービスを利用している人が多いと思いますが全てに共通して言えることがアカウントのログインはメールアドレスベースであるものが多い。これらのサービスを全て一つのメールアドレスで管理すると、一箇所から漏れた場合、アカウントに使われているメールアドレスの推察がかなり簡単になる。ってか、この連絡先を普通にウェブ上に公開している人も多いだろう。
メールアドレスじゃなくてアカウント名でログイン処理を行うサービスも沢山あったが、アカウント名を忘れるという人が非常に多いという理由で廃れた気がする。いや、まだそういうサービスもあるけど、アカウント管理がずさんだと、すぐ「あれ?ログインできねぇ…」って状態に陥る。実際自分の何度か経験している。
そして、アカウント名を忘れた場合メールアドレスを使って、アカウント名をメールで送ってもらったりその場で表示したりするのだけど結局はメールアドレスに紐付いて管理されているんですよね。
っという前置きで本筋に戻すと、今回の件は以下の問題点にあると自分は思う。
1.ウェブに公開しているメールアドレス(もしくはme.com)でamazonを使っていた
Amazonは基本的にメールアドレスがアカウント名となっている。上記の記事だけ読んでいるとAmazonテックサポートがだいぶ雑で問題だが、そこは自衛できる範囲外なので省略。
2.サービスに登録するアカウントを全てme.comで行なっていた
me.comが破られて、あとはアカウントのパスワード再発行メールが全てここに一括して行くのが問題。
3.簡単に推察可能なメールアドレスを主要アカウントとして使わない。
googleのパスワード再発行のメールアドレスに推察可能なメールアドレスが入っていたのも致命傷です。はっきり言って、”m••••n@me.com”って情報と、ツイッターアカウントが乗っ取られた後に臨時で使っていたツイッターID@mathonan(ようするに彼がよく使うID、ってか彼の名前)から誰しもme.comのメアドに想像がつくと思います。
(ここでは明記しませんがmathonan@me.comではありません。でも充分連想できます。ちなみにwired.comの記事中にはメアドが明記されています。)
っというわけでガード方法としては、推察可能なメールアドレスは使わない、メールアドレスは使わけてを複数運用すれば問題ないってのが判ります。
主要アカウントは推察が出来ないメールアドレスを使えばおk。それがgmailである場合は、二段階認証をしっかり付ける。複数管理めんどいワロタって人はThunderbirdにアカウント全部入れればおk。1アカウント追加なんて5分も掛からない。もしくは、webで転送設定をして、主要gmail.comにパスワード再発行宛先として指定する。充分に推測ができないメールアドレスにしておけば特定もされないだろう。
補足:
住所の特定はwhoisで行われています。ドメイン管理している人なら、ここで個人情報を公開している人も多いでしょう(私はプロテクションをかけてます)。
Amazonにクレジットカードを追加する際に「住所」・「名前」・「Eメールアドレス」だけで済み、この「住所」はWhoisで特定されたのが使われています。メールアドレスが特定されていなければ…っと考えるとやはりメールアドレスが推察可能かどうか、他のサービスに紐付けられているかどうか?がキーだと私は思います。
( ゚Å゚)うm