ロンドンを拠点とするハッカーグループ(通称「Turkish Crime Family」)が、Appleの「iCloud」のアカウント名とパスワード2億5000万件にアクセスできるということは、おそらくないだろう。だが、一定数のアカウントにアクセスできることは間違いなく、警戒する理由としてはそれだけで十分すぎるほどだ。近いうちに被害にあわないように、iCloudのパスワードとデータを今すぐ保護しよう。
その方法を説明する。
まず、iCloudのデータをバックアップする必要がある。もちろんAppleとしては、iCloudを使ってAppleデバイスのデータをバックアップできると考えていたわけで、それはそれでいいのだが、今はそのiCloudが懸念されているのだ。
「iPhone」「iPad」「iPod」については、「iTunes」のバックアップ機能を使ってデバイスのファイルを「Mac」やPCにバックアップするのが一番簡単だ。
ここで1つだけ問題がある。iTunesですべてがバックアップされるわけではないということだ。たとえば、「Apple Pay」の情報と設定、すでにiCloud上にある写真、購入済みのiTunesコンテンツや「App Store」コンテンツはバックアップされない。
というわけで、念のためパスワードを変更して保護を強化しておく必要がある。
ここはAppleにしっかりした対応を求めたいところだ。Turkish Crime Familyに身代金を支払うという話だけではない。Amazon、Netflix、LinkedInといった他の大手サイトは、漏えいしたパスワードのリストを購入し、一方向のハッシュ照合を利用して既存のパスワードをチェックしている。そのうえで、ぜい弱なパスワードをリセットして、ユーザーにパスワードの変更を求めている。Appleはこれを実施していないが、想定される脅威の規模を考えれば、実施を検討すべきだろう。
Appleがやらないとなれば、ユーザーが各自でパスワードを変更するしかない。
iCloudアカウントの設定には、「Apple ID」が使われている。
Apple IDのパスワードを変更するには、任意のウェブブラウザからApple IDのアカウントページにサインインし、手順に従ってパスワードをリセットする。筆者は「Linux Mint」システムで「Google Chrome」を使ってパスワードを変更した。
Apple IDの新しいパスワードは8文字以上にしなければならず、数字、大文字、小文字をそれぞれ1文字は使う必要がある。また、空白、3字以上連続する同じ文字、Apple ID、過去1年以内に使ったパスワードは指定できない。
間違っても、「abcdefgh」「qwerty」「password」といった安易なパスワードは使わないこと。がんばって暗記しなくてもいい安全なパスワードを作るには、パスワードではなくパスフレーズを使うのが一番簡単だ。
ネコがキーボードを踏んだようなランダムな文字列(「sdf9usdf」など)を、躍起になって覚えようとするのではなく、覚えやすいが意味を成さないフレーズを使おう。たとえば、「Plump/Trotting Pups:」とか、「UNC?Win!Duke?Lose!」「AC!DC!Tesla!Edison?」といった具合だ。これなら思い出すのは簡単で、クラッカーが破るのは難しい。
パスワードを変更したら、自分のすべてのAppleデバイスでパスワードを変更する必要がある。
次に、保護の層をさらに厚くしておこう。2ファクタ認証(2FA)だ。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス