Apple IDの2ファクタ認証と「iPhoneを探す」が抱える欠陥をセキュリティ研究者が指摘

By Warren R.M. Stuart

近年、あらゆるサービスで新規アカウント作成やGoogleやTwitterなどの有名サービスのアカウントとの連携が求められます。サービスによっては非常に重要なプライベート情報などを保存しているものもあるため、アカウントの安全性を高めることは非常に重要なわけですが、よりセキュアにアカウントを運用できるようになる「2段階認証」が多くのサービスで導入されています。AppleのiPhoneやiPad、Macなどを使用する際に使用するApple IDにも2段階認証が存在し、これは「2ファクタ認証」と呼ばれているのですが、これが抱える欠陥をセキュリティ研究者のカピル・ハレッシュさんが指摘しています。

I was violated, digitally. — Medium
https://medium.com/@kapilharesh/i-was-violated-digitally-d3ea2b290e3a

There are limits to 2FA and it can be near-crippling to your digital life | Ars Technica
http://arstechnica.com/security/2016/07/there-are-limits-to-2fa-and-it-can-be-near-crippling-to-your-digital-life/

「既存のAppleの2ファクタ認証(2段階認証)には限界がある」と主張するのは、暗号学を専攻してセキュリティープライバシーやソフトウェアエンジニアリング、ヒューマン・コンピューター・インタラクションなどについて学んでいるという大学院生のカピル・ハレッシュさん。ハレッシュさんはApple IDの2段階認証が「iPhoneを探す」で十分に機能していないことを、2016年7月24日にハレッシュさん自身が遭遇したサイバー攻撃により気づきます。

7月24日にサイバー攻撃を受けた直後、ハレッシュさんのiPhoneのロックスクリーン画面上に「Find My iPhone Alert(iPhoneを探すの警告音です)」という通知が表示され、それと同時に警告音が鳴りました。

その際のiPhoneの様子を「iPhoneを探す」で表示するとこんな感じだったそうです。

警告音が鳴り始めてから1分後、iPhoneのロック画面に表示されていた「iPhoneを探すの警告音です」という通知が切り替わり、画面は暗くなり、「Hey why did you lock my iPhone haha. Call me at (123) 456-7890.(やぁ、なんで僕のiPhoneをロックしたんだい。(123)456-7890にまで電話してね)」という通知が表示されました。

この通知を見た瞬間、ハレッシュさんは自身のiPhoneがサイバー攻撃を受けたことを理解したそうです。ハレッシュさんのApple IDがどこから漏洩したのかは不明ですが、アタッカーはハレッシュさんのApple IDをハッキングしようと試み、それが失敗したことから「iPhoneを探す」を駆使して端末をロックしてきたというわけ。iPhoneが紛失モードになった場合、「iPhoneを探す」を使えば端末の物理的な位置を検索することが可能です。なお、この方法はWIREDの記者の身に起きた悲劇と非常に似たものであったそうで、WIREDの記者の場合、最終的に端末上のデータを削除されています。

2012年にWIREDの記者がハッキングを受けた際、ハレッシュさんは自身のApple IDをよりセキュアに保つために2段階認証を導入しました。2段階認証は不正にアカウントにログインしようとするユーザーをはねのけるのにピッタリな機能で、「iPhoneを探す」や「Apple Pay」「Apple Watchの初期設定」などさまざまなサービスに導入されているシステムです。しかし、「iPhoneを探す」においては2段階認証がうまく動作していない、とハレッシュさん。

iPhoneを紛失してしまった場合、「iPhoneを探す」で「紛失モード」を使用することで、端末をロックしてiPhoneを拾ってくれた人物に対してメッセージを表示したり、iPhoneのデータを全削除したりすることが可能です。これは、2段階認証を設定しているApple IDでも2段階認証コードなしに利用可能な機能とのこと。

すると、「iPhoneを探す」から端末の位置を特定したり……

端末をロックしたり通知を送ることも可能。アタッカーはこれを駆使して「電話ちょうだい」という通知をハレッシュさんのiPhone上に表示したようです。

Apple IDで2段階認証を使用する場合、まず最初に信頼できるデバイスを1台もしくは複数台登録します。信頼できるデバイスというのは、ユーザーの管理下にあるデバイスで、SMSや「iPhone を探す」を使って4桁のコードを受信できるデバイスを指します。しかし、「iPhoneを探す」を使用する際はこの2段階認証のコードを求められなかったようで、これこそが「iPhoneを探す」とApple IDの2段階認証における欠陥、とハレッシュさん。

ハレッシュさんは過去10年間にわたってApple製品を使用してきたそうですが、今後もApple製品のセキュリティ面には自信を持てる、と語っています。それと同時に、今回のような攻撃が実行できるということは、「Appleがクラウドに徐々に注力していることを考えれば本当に恐ろしいこと」と語っています。

偶然にもハレッシュさんは暗号学を専攻している大学院生だったため、こういった攻撃に対する対処法を心得ていましたが、一般ユーザーがそういった知識を持っているとは限りません。ハレッシュさんは自身のApple IDのパスワードを誰かに教えたことはないし、パスワードには大文字と小文字の混ざったセキュアなものが使用されている、と語ります。また、危険なサイトにApple IDのパスワードを入力したこともない、とのこと。アタッカーがどのようにハレッシュさんのApple IDのパスワードを知ったのかは不明ですが、重要なのはパスワードが漏れてしまった際に被害を最小に減らすことです。その点において、端末内のデータを全削除されてしまうかもしれなかった、というのは非常に危険なことであり、この点についてAppleは修正を加えるべき、とハレッシュさん。

また、ハレッシュさんは「メールによるログイン通知」機能でこういった不正ログインを防ぐことができたかもしれない、と主張しています。Appleでは国外からApple IDにログインすると、登録しているメールアドレス宛に以下の様な通知が送られるそうです。

以下のメールはカナダに住んでいた際の、Apple IDにログインした際に送られてきたメール通知。赤枠部分に「Apple Canada」の文字が読み取れます。

そして、別の地域からログインすると以下のようにメールの送信元が異なっていることがわかります。

このように、Appleではユーザーが異なる地域からApple IDにログインした際にメールで通知を送っており、どの地域からApple IDにアクセスしているのかをしっかり認識しています。ハレッシュさんを攻撃してきたアタッカーはアイルランドからApple IDにログインしてきたそうです。また、アタッカーはMacではなくWindows端末からApple IDへのログインを行ったそうですが、ハレッシュさんがWindowsからApple IDにログインすることはほとんどなかったそうです。よって、こういったログイン関連情報をしっかりモニタリングしておけば、アタッカーによるハッキングは防げたかもしれない、とハレッシュさん。

ハレッシュさんはAppleが正当なログインかどうかをチェックするのが理想的、とコメント。また、実際にMicrosoftでは新しいデバイスでアカウントにログインしようとしたり、通常利用している端末以外でアカウントにログインしようとする動作を検知すると、コンピューターをロックしてユーザーにアクセスが正しいものか確認させる、という機能を導入しているそうです。