攻撃者は記者になりすまして米AmazonとAppleのカスタマーサービスをだまし、アカウントを乗っ取っていた。
米Wired記者のApple iCloudアカウントが乗っ取られ、TwitterやGmailなどのパスワードが立て続けにリセットされた問題は、米AmazonとAppleのカスタマーサービスが相次いでだまされたことが発端だったという。セキュリティ企業のheise SecurityのブログでWiredの記事を引用して伝えた。
それによると、攻撃者は被害者のマット・ホナン氏が登録している個人用ドメインのWHOISから自宅住所を調べ、次いで同氏のクレジットカード番号の下4桁をAmazonから入手した。
まずホナン氏を名乗ってAmazonに連絡し、アカウントに新しいクレジットカード番号を登録したいと伝え、デタラメな番号を登録していったん電話を切った。その後改めてAmazonに電話して、アカウントから締め出されたので新しい電子メールアドレスを登録したいと説明し、本人確認用に先ほどのデタラメなカード番号を伝えた。これで同氏のAmazonアカウントへの侵入に成功し、アカウント情報に表示されていたホナン氏のカード番号の下4桁を入手した。
Appleにはこの下4桁と、WHOISで調べておいた住所を伝えて本人になりすまし、iCloudアカウントを乗っ取ったという。iCloudのカスタマーサポートではユーザーの住所と登録クレジットカードの下4桁が分かれば、新しいパスワードを発行する仕組みだったとされる。Appleから送信されたパスワードのリセット確認メールは攻撃者によって削除された。
攻撃者は続いてTwitterとGoogleアカウントを乗っ取り、リモートワイプ機能を使ってホナン氏のiPhone、iPad、MacBookの内容を消去したという。
heiseによると、クレジットカード番号の下4桁はレシートには表示されるものの、Amazonのようにリモートから入手できてしまうのは一般的ではないという。Appleの本人確認がこの下4桁でできてしまう仕組みになっていた理由は不明だとしている。
Copyright © ITmedia, Inc. All Rights Reserved.