パスワードを忘れた? アカウント作成
789541 story
アップル

iTunesストアアカウントのセキュリティー問題、未だ解決されず 41

ストーリー by reo
漏洩ではなく実はバグなんじゃ… 部門より

eggy 曰く、

アップルサポート・フォーラム上に、iTunes ストアのクレジットが何者かによっていつの間にか勝手に使用されていたとするスレッドがあるのだが、去年の 11 月末の最初の投稿以来、未だにスレッドが伸びている (本家 /. 記事より) 。

昨年 11 月 28 日に立ち上げられたスレッドによれば、スレッド主はクレジットカードの登録はしておらず、iTunes ストア・ギフトカードのクレジットを使用していたため深刻な被害には及ばなかったとのことだが、たった一度 iTunes ストアから 99 セントの曲をダウンロードしただけなのに、2 回の注文で iPhone アプリを合計 50 ドル以上も購入したとする領収書を受け取ることになってしまったという。スレッド主の所有するコンピュータは PowerBook (?) 1 台のみであり、iPhone は所有していないという。その後アカウントを確認したところ、住所の州及び都市、郵便番号が変更されていたとのこと。また、パスワードを忘れた際の質問に母親の旧姓を設定していたが、答えがスレッド主の母親の旧姓でない「Murray」に勝手に変更されていたという。iTunes アカウントサポートにメールして被害を報告したところ、24 時間以内に回答が得られ、被害額がすべて払い戻されたとのこと。

このスレッドに対する書き込みは 700 件程も寄せられており、その内容をみれば、現在もなおこのセキュリティー問題が解決されていないことが分かる。アップルはこれ以上被害が拡大しないよう、早急に問題を解決するべきと思われる。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • 仕方ないから (スコア:5, おもしろおかしい)

    by iwakuralain (33086) on 2011年09月13日 12時03分 (#2018869)

    パスワードは以下のルールで運用しましょうか
    1.8文字以上
    2.英数字と記号と大文字小文字を必ず混在させる
    3.同じ文字列は連続使用できない(例:aabcdは×)
    4.過去に使ったパスワードは使用出来ない
    5.過去に使ったパスワードを一部変えての使用は出来ない(例:abcd1234 => abcd5678等はダメ)
    6.誕生日や車のナンバーなどの類推出来るものは使用しない
    7.パスワードの有効期間は2週間。2週間経過したら変更しなければならない
    8.他のサイトで使用しているパスワードは使用出来ない

    # 実際これに違い運用してるところあったけど、毎日の様にパスワードの問合せが来てたな・・・
    # でもまぁパスワード自体がAppleから漏れたとかだと意味がないけど。

    • by DenRock (38403) on 2011年09月13日 13時29分 (#2018922)
      そんなめんどくさい事できないので
      音楽はお店でCDをお買い求めください!

      #なんて事を声を大にして言いたい人たちはいっぱいいそう。
      親コメント
    • by Dobon (7495) on 2011年09月13日 13時03分 (#2018905) 日記
      >8.他のサイトで使用しているパスワードは使用出来ない
      どうやって実装するのか非常に興味があります。
      --
      notice : I ignore an anonymous contribution.
      親コメント
      • by Anonymous Coward

        他サイトで使っているパスワードを全部Appleに申告するような制度にすればいいと思います!

    • 5.過去に使ったパスワードを一部変えての使用は出来ない

      7.パスワードの有効期間は2週間。

      パスワードはASCII文字なんだろうけど、部分一致だけで弾くと、1文字目の選択が128文字以下なので256週、5年くらいで新しいパスワードを作れなくなる、なんてbugが発生しそうな予感。(笑)

      --
      vyama 「バグ取れワンワン」
      親コメント
    • by Anonymous Coward

      4番はある程度実装されている様ですね。
      以前、アタックが行われた時期があった様で、数日毎にアカウントが凍結されてパスワードの再設定を求められたのですが、途中から、同じパスワードを設定しようとしたところがはじかれて、じゃあいったん別のパスワードを設定してから戻そうとしたら、やはりはじかれる様になっていました。
      こちらとしては割れなかったんだから、同じPWを使わせてほしいところではありましたが。

  • プライベートでインターネットにアクセスするだけの一般ユーザに企業ユーザ並みのパスワード運用を求める方々には、「コンピュータリテラシーに乏しい自分の親や知人にも要求するんですか」って言いたい。
    俺にはできない。どこかで妥協する。

    高木浩光流 インターネットの歩き方(後編) [securityblog.jp]

    ―セキュリティに関する間違った情報が多いという話を1つだけしますと、たとえばパスワードは定期的に変更してくださいってよくいいますよね。これは間違いです、と私は主張しています。むしろ変更しないほうがよい、と。パスワードを毎月変えると覚えられないでしょう。しょっちゅう変えなさいというのは、無理な要求をしているわけです。定期的に変えてくださいといっているサイトに、定期的というのは実際どのくらいですかって聞いてみるとね、誰も答えられないんですよ。

    • by JULY (38066) on 2011年09月13日 17時52分 (#2019060)

      パスワードを定期的に変更する事の効果に関しては、懐疑的な意見がありますね。

      徳丸さんの記事(「パスワードの定期変更は「神話」なのか?」 [hatena.ne.jp]、「続パスワードの定期変更は神話なのか」 [hatena.ne.jp])とか、定期変更の間隔を短くしても、効果は頭打ちになる、という計算結果 [hatena.ne.jp]があったり。

      パスワードの定期変更よりも、パスワードを1文字長くする方が、ブルートフォースに対する耐性は 100 倍近く高くなるわけだから、最低文字数を上げる方がずっと効果的なはず。

      で、最近気がついたんだけど、OCN のメール用のパスワードが最大8文字に、かなり驚いた。
      http://help.ocn.ne.jp/ols/mail/10002_m_infochk.html [ocn.ne.jp]

      親コメント
      • by Anonymous Coward

        パスワードが最大8文字

        これってハッシュじゃなく平文でパスワードを保存してるってことだよなあ

    • by Anonymous Coward

      > 定期的というのは実際どのくらいですかって聞いてみるとね、誰も答えられないんですよ。
      ログインしたときに「XX日間パスワードを変えていません」というメッセージが出てくるところがよくある。
      これは、暗にそれに答えてるんじゃない?

      • いやいやそれは管理者側がユーザーに判断を丸投げしてるのであって、高木先生のご指摘は、これこれの理由によりこのくらいの間隔で変更すべきである、ということを説明できる管理者がいない、ということでしょう。

        親コメント
        • by Anonymous Coward

          判断を「投げ」ているし、「理由」の提示もないけど、特定の日数で注意勧告を出すという決め事をしている以上、「投げ」ではないよね。

          • ???
            そいういうのを丸投げっていうんですが^^;
            責任と判断を理由もなく「投げて」フォローや協力する事を放棄しているのですから。
            日数の注意勧告ってのいわゆるはポーズですよね。

            よく分からない仕事をあなたに「投げて」毎日「あれから○日たったね。」と言っていればあなたはあなたの知らない納期までに仕事を完遂してくれるのかな?

            私はその仕事について何か聞かれても一切答えないけど。何日経過したか毎日知らせていたのだから失敗したらあなたの失敗として責任取ってくれるのかな?成功したら、私が経過日数を教えていたのだから私の手柄としていいのかな?

            親コメント
    • by Anonymous Coward

      たまにしか使わないJALのマイレージサイトが、セキュリティー向上を理由に暗証番号を四桁から六桁にしたとき、ダメになった。
      普通、たまにしか使わない数字だけのパスワードで、何の関連性もない数字の羅列を覚えきれるのは四桁くらい。
      数ヶ月おきにしか使わないのに六桁の乱数なんて無理。
      それよりは英数字にして桁数を増やしたほうがまだよかった。

  • by Anonymous Coward on 2011年09月13日 10時36分 (#2018812)

    よそでパスワードを使い回しているというのはAppleに解決可能な問題とは思えないんだけど。
    iBiometricsを開発してiTunesになかまをよばせるとか?

    • by QwertyZZZ (8195) on 2011年09月13日 10時54分 (#2018823) 日記

      iTSでしか使って無いアカウント/パスワードなのに、何故かAppleから再設定のお願いメール貰いましたが。
      使い回しの物も有るかもしれないけど、別要因も有りそうです。

      やっぱ安全の為には基本はクレカでなく、プリペイドでの利用、かな。

      親コメント
      • by Anonymous Coward

        契約上、あなたが使ってようが使ってまいが支払いの責任はあなたにある筈
        当然支払い方法がクレジットカードに変更されてそのカードが偽造で引き落とせなかったときもあなたに請求がいきますよね?

        • by Anonymous Coward on 2011年09月13日 12時04分 (#2018870)

          > 契約上、あなたが使ってようが使ってまいが支払いの責任はあなたにある筈

          しかし1ヵ月後に問答無用で引き落とされるか、請求書や督促状を送ってくるだけってのは、事件の複雑さが違いますがな。

          アップルが弁償するとなったところで、カード引落ならカード会社という第3者も巻き込んで事後処理をしなきゃいけない。それよりアップルから「わかりました。その請求書破棄してください」で済めば労力は全然違うよ。

          親コメント
        • iTSのセキュリティがザルで、事前で登録されたクレカの番号から個人情報から全てダダ漏れ。
          挙句、再度侵入を許した上に、事前のクレカ番号に書き直しなんて事が出きるのなら、有りえるでしょうね。

          しかし、現状は無効化のままですので、流石にその可能性は低いかと。
          可能なら、再設定のお願い通知すら、犯人の手の内って事に。
          #そこまで出来ればもう、内部犯行の可能性が無茶苦茶高くなると思う。

          親コメント
    • by Anonymous Coward

      パスワードを使い回ししてたってのはどこに書いてあるの?

    • by Anonymous Coward

      ソニーがPSNのアカウント漏洩問題において調査の結果セキュリティに問題はなくユーザー側から漏れたに違いないという対応をし既知のセキュリティホールを放置したために世界最大の個人情報漏洩事件に発展した事は記憶に新しい

      • by Anonymous Coward

        つまりPSNも「ユーザから漏れたということにする」「セキュリティホールの調査をしない」というポリシーを貫いていればAppleのごとき革命的なセキュリティを保てていた、ということですねわかります

  • by Anonymous Coward on 2011年09月13日 10時40分 (#2018814)

    アカウントやパスワードはアップルが漏らしたの?
    もしユーザーが自分の責任で漏らしたり盗まれたり推測されたりしたのなら、アップルに解決を求めるのは筋違いだよね。

    • Re:どこから漏れたのか (スコア:4, すばらしい洞察)

      by Anonymous Coward on 2011年09月13日 13時56分 (#2018939)

      そういう調査すらしないのがAppleなんだよね。

      iPodにバッテリーが爆発する事故が多発して、「欠陥があるか調べろ」
      と行政から言われても「調査中」というステータスのまま数年経過。

      調べてAppleに原因があるとわかったら、巨額補償をしなきゃいけなくなる
      から個別補償してごまかしてるだけ。

      誰が不正アクセスしたのか調べられるのはAppleだけであり、ユーザが
      それを調査するのは不可能だよね。

      さらに、同じパスワードの使いまわしとか言ってる人がいるけども、
      それならiTunes以外でも同じ被害があるはずだし、iTunesでしか
      使ってないアカウントでやられたという報告もある。

      クレジットカード会社では不正利用のパターンを認識して、
      アラートを出して止めるよね。
      世界一のIT企業のはずのAppleが、なぜそんなことができないのか
      不思議でしょうがない。

      やれるけど、やらない理由、すなわちそれは自らの瑕疵を認めることに
      なるからやらないということ以外に何がある?

      あんなに現金資産が貯まりすぎ、株主から「金を使え」っていわれる
      くらいなのに、なんでそんなにお金を守ろうとするんだろう。
      守銭奴ってやつ?

      親コメント
      • by Anonymous Coward

        単に
        「払わないで済むなら払わない。払わせられそうなら無理筋でも請求」
        ってだけの様にも思うんだ。
        それならApple社の対応って首尾一貫していると思えるもん。

    • by nmaeda (5111) on 2011年09月13日 11時38分 (#2018845)

      いや、パスワード方式の認証を採用しているのはappleだから、責任はあるでしょう。推測されやすいパスワードは使えないようにするとか、1週間ごとに変更させるとか、一定の対策も考えられるし。やり過ぎるとパスワードが分からなくなったという問い合わせが増えて対応に苦慮してしまうだろうけど。

      Appleはハードウェアも作っているんだから、生体認証を搭載して普及を目指してもいいかもしれない。一時期は指紋センサー付きマウスがいくつかのメーカーから出荷されていたけど、最近は見かけないね。

      親コメント
    • by Anonymous Coward

      確かにユーザ側に不備があったケースもあるでしょうが、すべてそうだとは言い切れないから余計ややこしくなってる気がします。
      本家記事では、「アップルはパスワードが弱いか、フィッシング詐欺で盗まれていると示唆している」とか書いてあるけど
      それだけが問題、とははっきり判明してないですよね…?

typodupeerror

人生unstable -- あるハッカー

読み込み中...