要注意!生年月日とメールアドレスだけでApple IDのパスワードがリセットされる、深刻な脆弱性が発覚!

Apple verification code
【img via Cnet

極めて重大なセキュリティホールが見つかった。

昨日、Apple ID用の管理に二段階認証を適応したことが発表されたが、二段階認証を有効化していないユーザーのApple IDを生年月日とメールアドレスだけでリセットできてしまう、非常に深刻な脆弱性が発見された!

セキュリティ質問を回避できる、特別なURLが存在する

この脆弱性についてはまだ一般に公開されていないが、Cnetによると既にAppleは水面下で調査を進めているようだ。手口としては、Appleの提供しているパスワードリセットツールのURLを一部改変することによってセキュリティ質問を回避することができるようになり、生年月日とメールアドレスでApple IDのパスワードがリセットされてしまう、という仕組みだ。対象は二段階認証をまだ有効化していないユーザー。既に有効化している人は問題ないようだ。

Appleはこのパスワードリセットツールに加え、二段階認証の設定画面をそれぞれメンテナンスモードに切り替えている。日本ではまだ二段階認証は有効化されていないが、iTunes StoreやApp Storeを頻繁に利用する人はかなり不安になる事件である。

それにしてもユーザーの安全性を考慮して導入したシステムが逆に脆弱性をもたらすとは、なんとも皮肉だ…。

席を外すと自動的にロックが掛かる!iPhoneやiPadをMacの鍵として利用できるアプリケーション「Keycard」 | gori.me

(via Cnet