要注意!生年月日とメールアドレスだけでApple IDのパスワードがリセットされる、深刻な脆弱性が発覚!

Apple verification code

【img via Cnet

極めて重大なセキュリティホールが見つかった。

昨日、Apple ID用の管理に二段階認証を適応したことが発表されたが、二段階認証を有効化していないユーザーのApple IDを生年月日とメールアドレスだけでリセットできてしまう、非常に深刻な脆弱性が発見された!

セキュリティ質問を回避できる、特別なURLが存在する

この脆弱性についてはまだ一般に公開されていないが、Cnetによると既にAppleは水面下で調査を進めているようだ。手口としては、Appleの提供しているパスワードリセットツールのURLを一部改変することによってセキュリティ質問を回避することができるようになり、生年月日とメールアドレスでApple IDのパスワードがリセットされてしまう、という仕組みだ。対象は二段階認証をまだ有効化していないユーザー。既に有効化している人は問題ないようだ。

Appleはこのパスワードリセットツールに加え、二段階認証の設定画面をそれぞれメンテナンスモードに切り替えている。日本ではまだ二段階認証は有効化されていないが、iTunes StoreやApp Storeを頻繁に利用する人はかなり不安になる事件である。

それにしてもユーザーの安全性を考慮して導入したシステムが逆に脆弱性をもたらすとは、なんとも皮肉だ…。

席を外すと自動的にロックが掛かる!iPhoneやiPadをMacの鍵として利用できるアプリケーション「Keycard」 | gori.me

(via Cnet

コメントを見る/書く
関連キーワード
関連記事
公開情報
公開日2013年03月23日
更新日2014年05月29日
執筆者Kazuto Kusakari
コメント(0件)

コメントは承認後に表示されます。良識のあるコメントを心がけ、攻撃的な表現や他人が傷つく発言は避けましょう。なお、コメント投稿時に「利用規約」に同意したとみなします。

「Apple」新着記事
トレンド検索