相変わらずはてブしている人達はやべーやべー言ってて、件の記事「iCloudハック事件の手口がガード不能すぎてヤバイ」を書いた人は的外れな続きの記事「ソーシャルエンジニアリングは他人事じゃない」を書いているわ…

英語が正しく理解できない人か、原文をちゃんと読んでいないかのどっちか。

この方に限らず、原文を読んでいない人が多すぎ。しょうがないからかわりにじっくり読んで時系列を沿って今回の事件の手順をちゃんと整理して書きます。自分自身の整理がなっていないので、自分のメモとして（当ブログの趣旨）ですが。

１．@matという三文字ツイッターアカウントに目をつける

２．ツイッターアカウントに出ているHPにアクセスしてみた

３．HPにgmailのアドレスを発見し、ツイッターアカウントのメアドじゃないかと推測("Holla"のとこ)。

４．グーグルでログインできねーページからアカウントパスワード忘れたって手順に進む。

----

※　ここでグーグルアカウントの２段階認証を有効にしていたら以下の一連の流れは防げた。正確に言えばハッカー達は２段階認証が有効であったなら諦めていたと言っている。

２段階認証が有効な場合「このアカウントに対して 2 段階認証プロセスが有効になっているようです。 パスワードを再設定するには、電話で取得した確認コードを入力する必要があります。電話がない場合は、アカウント再設定の完了までに 3～5 営業日かかることがあります。」と出る。有効でない場合は「次の予備メール アドレスにパスワード再設定リンクを送信: ho••••••••••••••••••@hogehoge.com」みたいに予備のメールアドレスが出る。

----

５．予備のメールアドレス「m••••n@me.com」が出たぜ！あれ？＠の前の文字数がgmailのと一緒じゃね？そして始まりと終わりも一緒じゃね？なるほど、me.comのアカウントたぶんわかった！

６．me.com(アップル)はメールアドレス・請求先住所(billing address)・クレジットカードの下四桁番号があれば新しくパスワードを発行してくれるのは周知の事実。

７．メールアドレスはわかっている。請求先住所はさっきのHPのリンクにあるドメイン(honan.net)のwhoisかけてみたらjoker.comが出てくる…joker.comで検索してみると、おお、Billing contact: って出てくるじゃないか。CNET-から始まる識別番号みたいなのになっているけどリンク付き！リンクをクリックして無事請求先住所を入手できました。

----

※　ここで登録している住所を非公開とかにしていれば、正確な請求先住所は入手できなかったでしょう。もっともhonan.net上に、請求先住所と同じ住所を自ら公開していたので今回の件では無意味だったのでしょうけど…

ちなみに( ﾟÅﾟ)んーはnnnnn.meとnnnnn.coを利用していますが両方とも、個人情報は非公開にしています（厳密に言うと代理公開を利用しています）。

ドメイン情報を非公開にしていれば請求書先住所を入手されるような事はありません。しかし、自分で非公開設定・デタラメな内容を入力する事は禁止されています。非公開にする場合はちゃんとした手続きを踏んで代理公開を利用して下さい。

----

８．次にクレジットカード番号の下四桁を知りたいわけですが、ここでアマゾンが活躍登場します。アマゾンへ電話し、新規クレジットカード番号を追加したいと言えば、名前・メールアドレス・請求先住所があれば行える。全部情報が揃っているので新しいクレジットカード番号を追加できました。

９．アマゾンに再度電話をし、今度は「アカウント情報忘れちまったわー」って言う。名前・請求先住所・クレジットカード番号の下四桁の情報を提供する事により、アカウントに対してメールアドレスの新規に追加が行える。名前・請求先住所は判っていてクレジットカード番号の下四桁は先程登録した新クレジットカード番号のを言えば、ここはパス！

１０．次にアマゾンのウェブ上でパスワード再発行手続きを行う。新しく登録したメールアドレスに再発行メールが届きます。これでパスワードをリセットしてアクセスできました。アマゾンの" アカウントサービス >クレジットカード情報を編集・削除する"を見て、先ほど登録したものでない方の、クレジットカードの下四桁を確認する。

----

※　はてブとかではこのアマゾンの対応がかなり非難されているが、元記事ではこのアマゾンの対応自体はそこまで問題視していない。理由としてはピザハットでの注文を例に、このあと書くアップルの対応の原因がある限り（アップルIDを持っている限り）ピザ配達員とか誰でもできるからであるとしている。これは「ソーシャルエンジニアリングは他人事じゃない」で言っている佐川急便の配達員（またはそれを装った人が）の例と同じ感じである（物理ハッキングうんぬんは別として）。

----

１１．（６．に書いてある）必要な情報が出揃いました。これであとはアップルに電話すればiCloudにもアクセス可能な、AppleIDへの新しいパスワードを発行してくれます。

１２．me.comに入り込めればあとは簡単。グーグルアカウントのパスワード再発行を要求して、そしてグーグルアカウントに入り込みます。そしてツイッターアカウントのパスワード再発行を行なってツイッターアカウントを乗っ取ります。

１３．奪還阻止、途中で邪魔されないようにiCloudのリモート削除機能(Find My Mac)で削除を実行！

( ﾟÅﾟ)おわりでｓ

---

結論として、ハッキング被害にあった方はhoge@gmail.com・hoge@me.com・hoge@wired.comのように＠の前を統一してメールアドレスを使いまわしていたこと、Macbookのバックアップを取っていなかった事等を今回の反省として捉えているようです（それ以上にFind My Macを有効にしていなければよかったと言っているが、私はApple製品を持っていないのでここでは言及しません）。

この記事の結論として、ソーシャルエンジニアリングのキモはこの言葉に集約されているような気もします。

The very four digits that Amazon considers unimportant enough to display in the clear on the Web are precisely the same ones that Apple considers secure enough to perform identity verification.

（訳）アマゾンが表示するのに問題ないと考えていた４桁の数字と、Appleが個人認証として使うのに適切であると考えていた４桁の数字は全く同じであった。

一方では重要でなくても一方では重要視されている、組み合わせによっては色々破る事ができるという事なのだろう。