米国セレブの情報流出事件を切る！ 便利で怖いクラウドのセキュリティ術：萩原栄幸の情報セキュリティ相談室（2/2 ページ）

[萩原栄幸，ITmedia]

なぜ漏れたのか？

　ネット上では事件発覚とほぼ同時期（9月1日）に、Appleのオンラインサービス「Find My iPhone」（iPhoneを探す）の脆弱性をついたブルートフォースアタック（総当たり攻撃）が行われた可能性が指摘されている。これを信じたかどうかは定かではないが、ある日本語のニュースサイトもそう伝えていた。

　しかし、ここで1つの疑問が出てくる。ブルートフォースアタックを仕掛けるためには、Apple IDのユーザーネームを特定する必要があり、今回対象となった100アカウント以上もの情報を犯人はどうやって知ることができたのか。しかも、一流のセレブだけである。

　よって、この可能性はゼロではないものの、現状ではAppleが頑なに「NO」と意思表明していることから疑問が大きい。Find My iPhoneにおけるこの脆弱性についても既に修正されていることなどから、可能性は低いと考えられる。この記事を掲載した米国のThe Next Webは、果敢に攻めたようだが、残念ながら空振りに終わるだろう。

　現状で考えられるのはブルートフォースアタックではなく、「標的となったハリウッド女優や歌手、モデルが登録しているiCloudのユーザーネーム・パスワードを狙ったサイバー攻撃（定義により異なるが）により不正アクセスされた」というものである。一部、日本語での解説もあるが、原文の方が翻訳者の意図の無い分、正確だろう。

　日本語の解説サイトには次の記述がある。

サイバー攻撃のベースとなるのがFacebookやTwitterといったSNSからありとあらゆる情報を収集するハッカーたち。情報収集に手段は選ばず、有料サービスを使って公的機関に保存されているデータやクレジットカード情報なども集めます。集めた情報からターゲットの偽アカウントを作成し、ターゲットの友人などに接近して、パスワードや秘密の答えのヒントになりそうな情報を収集することもあるそうです。（原文ママ）

　これは筆者も昔から警告を発していたところでもあり、強く賛同する。

　そして、パスワード解除のキーワードとして「秘密の質問」もある。ハッカーの一部はセレブ女性たちのプライバシーをさぐっていく中で、当然ながらセレブたちが「秘密」としている質問の答えも簡単に導き出してしまう。

どう対策する？

　ここまで状況証拠としては揃いつつあるが、これが真の原因かはまだ分からない。よって十分ではないかもしれないが、現時点でユーザーが取るべき対応策を記載したい。

Appleの推薦認証であるApple IDの2段階認証をきちんと設定しておく

　この認証はあくまでオプションとなるため、必ず意識的にこの認証形式にして、強固なパスワードを設定する。

iCloudの自動同期設定を変更する

　カメラロールのバックアップがデフォルトはオンになっているので、これをオフにする（iPhoneのみデフォルト設定がオンになっているので要注意！）。これが事件の原因の1つになった分析だけに、必ず設定しておく。

強いパスワードに

　どの専門家も指摘しているように、パスワードは強度が強いものにする。これはApple ID以外でも同じであり、注意を払ってセキュリティの向上に努めること。

「秘密の質問」を工夫する

　上述の原文では、これもパスワードと同じ扱いとしてセキュリティ強度が強いものに設定すべきとしているが、筆者は全く違うとお伝えしている。それは質問通りの回答では無く、全く別の回答を用意しておくということだ。単語より文章がベストである（盗まれにくい）。

　例えば……

• 「小学校の担任の名前」＝「山田さんが大好きだった小学5年生」
• 「母方の旧姓」＝「おしゃべりばかりの母さん、愛しているぜ！」
• 「初めて作った料理」＝「林間学校で作ってくれた橋本さんのカレー、もう一度食べたい」

　これなら、意味のないランダムな英数字＋特殊文字なんかより、ずっと忘れにくい。ちなみに筆者も実践している。ハッカーが真剣に母方の姓を調べている姿を思い浮かべると、少しは気持ちに余裕が出てくるだろう。

　最後に、最も安全な方法はクラウドに重要な情報を置かないことだ（というより、漏えいしても自己責任なので諦めがつく）。筆者も実践している。クラウドといっても、結局は他人が管理する（しかもかなり脆弱な）ところに身を委ねていることに過ぎない。筆者はとても怖くてできない。

　今までメジャーなSNSの大半が漏えい事件を引き起こしている。他人に管理させるなら、それなりの費用をかける必要があるというのが筆者の考えだ。無料に近いサービスでそういう事を求めても仕方が無い（将来はインフラとして強固になっていくとは思うが「今」ではない）。

　企業としては、万一の場合の保険をどう掛けるかという話題につながってくる。情報を漏えいされても、暗号化されているとか、何らかの担保をきちんと確保してからでないと、万一の場合は企業が倒産することになり兼ねないからだ。

　次回は当初の予定通り、前回記事「あなたのセキュリティの“センス”を問う6つの質問」の続きを解説しよう。

萩原栄幸

日本セキュリティ・マネジメント学会常任理事、「先端技術・情報犯罪とセキュリティ研究会」主査。社団法人コンピュータソフトウェア著作権協会技術顧問、CFE 公認不正検査士。旧通産省の情報処理技術者試験の最難関である「特種」に最年少（当時）で合格。2008年6月まで三菱東京UFJ銀行に勤務、実験室「テクノ巣」の責任者を務める。

組織内部犯罪やネット犯罪、コンプライアンス、情報セキュリティ、クラウド、スマホ、BYODなどをテーマに講演、執筆、コンサルティングと幅広く活躍中。「個人情報はこうして盗まれる」（KK ベストセラーズ）や「デジタル・フォレンジック辞典」（日科技連出版）など著書多数。