Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

セレブゲート事件

2014年のセレブゲート事件に関する記事が出ていました。5件目の判決を受けたのは元高校教師です。

www.engadget.com

 

「celebgate」フォトリークが今では歳かもしれないが、それは、アカウントのハイジャックのための堅い罰をdolingから裁判所が停止されていません。連邦裁判官は、彼が個人情報の盗難と不正アクセスの容疑で有罪を認めた後、Chris Brannanに34ヶ月の懲役刑を宣告しました。彼はフィッシング攻撃とソーシャルエンジニアリングの両方を介して200のターゲットのiCloudFacebook、およびYahooアカウントを侵害していることを認めました(そこで彼はセキュリティの質問に答えるためにターゲットを調査しました)。

(Engadget記事より引用)※機械翻訳

 

◆キタきつねの所感

IDとパスワードによる限界という話であれば、2004年のRSA Conferenceで当時CEOだった、ビルゲイツ氏がその限界について語っています。

japan.cnet.com

 

それから10年経ち、発生したのがいわゆるセレブゲート事件で、iCloud等のクラウド上の個人情報保護の問題が当時大きな話題を呼びました。特にハリウッドスターのプライベート(ヌード)写真やビデオがオンラインストレージ上から漏洩し、SNSや4CH等で拡散されてしまったのは記憶に新しいところです。(日本でもその後、同じ攻撃が発生してましたが・・・)

 

2014年iCloudからの著名人プライベート写真大量流出事件 - Wikipedia

 

この事件に関しての判決は5件目となる様ですが、知人の女性のアカウント乗っ取りからセレブまで犯行を拡大していった元教師の事件で、裁判で明らかになった内容を興味深く見ました。

ハッキングの手法としては、Facebook等のパスワードリセットの仕組みを悪用し、「セキュリティ質問(秘密の質問)」を、セレブらの公開情報から類推し突破し、電子メールアカウントを乗っ取った事が挙げられていました。

 

200以上のiCloud, FacebookやYahooアカウントを乗っ取ったにしては、34ヶ月の懲役刑というのは、セレブが受けた影響を考えると、どうかなと思いますが、その程度の罰にしかならないという認識で、自分の身は自分で守るしかないようです。

自分の情報(プライベート含む)については、容易に類推できるパスワード(秘密の質問=パスフレーズ)にしないSNS上でプライベートの情報をなるべく公開しない(少なくても秘密の質問の答えとして使わない)という事も自衛策として重要なのかと思います。

 

 

因みに、字形を調べていて見つけて笑ってしまったのが・・・こちらのまとめ。

セキュリティ上はこの手の回答の方が破られにくいのは言うまでもありません)

 

 

何にしてる?みんなの「秘密の質問」がおもしろいw - NAVER まとめ

f:id:foxcafelate:20190309112247j:plain

 

 

f:id:foxcafelate:20190309104631p:plain

更新履歴

  • 2019年3月9日AM(予約投稿)