本日、カナダなどの国で「Apple ID」の「2段階認証」が開始されていましたが、日本でも開始されたようです。
参考記事:Apple IDの2段階認証が日本でも利用可能に。まずは下準備を済ませよう! – たのしいiPhone! AppBank
手順は以下。
詳しくはこちらよりどうぞ。
ぼくも設定しようとアクセスしてみましたが、設定項目自体が表示されていません。
もしかしたら、一部ユーザーのみの提供で徐々にユーザーが拡大していくのかもしれません。
Appleは、「Apple ID」の「2段階認証」機能を提供する国を拡大しています。
参考記事:Apple’s two-step verification for Apple IDs rolling out to Canada and additional countries | 9to5Mac
リリース当初は、米国、英国、オーストラリア、アイルランド、ニュージーランドのみで利用可能でしたが、カナダでも利用可能になっています。
カナダの他にもアルゼンチンやパキスタンでも利用可能になっているということです。
ただし、日本での提供はまだ始まっていないようです。
現在、「Apple ID」をターゲットとしてフィッシング詐欺メールが増加しているそうです。
トレンドマイクロによると、ユーザーに「Apple ID」を入力させることが目的の偽サイトが110サイト確認されたと報告しています。これらのサイトのIPアドレスは、ヒューストン付近のものだということです。
下のグラフは、「Apple ID」をターゲットとしたフィッシング詐欺サイトの推移を現したもので、現在、「Apple ID」をターゲットとしたフィッシング詐欺サイトが急増していることがわかります。
「Apple ID」が流出した場合、「iCloud」や「iTunes Store」、「Apple Store」など各種Appleサービスにログインできるようになります。日本ではまだ導入されていませんが、現在、Appleでは2段階認証の導入を進めているので日本でも利用可能になったら必ず設定するようにしましょう。
先ほど発生した「iCloud」と「iTunes Store」の障害ですが、現在は復旧しているようです。
ただし、今度は「Apple ID」と「ゲームセンター」で障害が発生しています。「Apple ID」では一部ユーザーが新規「Apple ID」が作成できない障害、「ゲームセンター」では一部ユーザーがログインできない障害が発生しています。
メールアドレスと誕生日を使うことで他人の「Apple ID」をリセットすることが可能となる脆弱性が見つかり、パスワードリセットページ(iForgot)を閉鎖していましたが、iMoveによるとパスワードリセットページを復旧していたことからこの脆弱性が修正されたようだと伝えています。
参考記事:Apple restores its iForgot password reset page after resolving security flaw – The Next Web
「Apple ID」には、パスワードを忘れた場合やデバイスが盗難に遭った場合にパスワードをリセットできる機能がありますが、メールアドレスと生年月日を使って他人のパスワードをリセットできる脆弱性が見つかったようです。
参考記事:Apple ID Security Hole Allows Password Reset With Email Address and Date of Birth – Mac Rumors
詳しい手順について公開されていませんが、それほど難しい手順が必要なわけではないようです。
また、この脆弱性は、先日公開された2段階認証を使っていれば影響を受けないようです。(日本ではまだ導入されていません。)
本日より、「Apple ID」のセキュリティ強化対策が開始されているそうです。
参考記事:Apple IDのセキュリティ強化対策が本日より開始。 – iPhoneアプリのAppBank
「App Store」で新たにアプリをインストールしようとすると、設定画面に進むように促されるそうです。
この設定では、「Apple ID」を保護するために3つの質問とレスキューメールの設定が可能になっています。
設定手順はこちらで細かく説明されています。
現在、「App Store」でアプリをダウンロードする際にも「Apple ID」の入力が必要ですが、「iOS 6 Beta 3」では、無料アプリをダウンロードする場合は「Apple ID」の入力が不要になるそうです。
参考記事:iOS 6 Beta 3 finally lets you download free apps without Apple ID
また、「iOS 6 Beta 1」の時点でアプリの最ダウンロードの時には「Apple ID」の入力が不要になっていたそうです。
Appleが、「Apple ID」のセキュリティ強化に乗り出したそうです。
参考記事:Apple Begins Enhancing Apple ID Security in iTunes / iOS Devices
これまで、単純なパスワードの「Apple ID」やフィッシング詐欺に使われたアプリ(主に中国)の対策として新しいアプリをダウンロードする時に3つの質問とその答えを設定するように求めているそうです。また、アカウントを保護するためにバックアップ用のメールアドレスを入力するように求めているということです。
以下のようなメッセージが表示され、3つの質問と答え、バックアップ用のメールアドレスを設定する必要があるようです。入力が完了すると確認メールが送られてくるそうです。
一部ユーザーの中には、このメッセージをフィッシング詐欺ではないか?と疑う人もいるそうでフォーラムなどで質問されているそうです。
先日、iTunesでアカウントが不正利用されていると伝えましたが、「iOS 3~4.3.5」にApple IDのユーザー名およびパスワードがアプリから読み取りできるファイルに記録される可能性があるということが分かったそうです。
参考記事:iOS 5 ソフトウェア・アップデートのセキュリティコンテンツについて
この問題は、最新OSの「iOS 5」には存在しないようですので、まだ、「iOS 5」にバージョンアップしていない人は今すぐアップデートした方がいいでしょう。
また、今のところ被害を受けていないという人もApple IDのパスワード変更を行うことをオススメします。
対象となるバージョン:iPhone 3GS および iPhone 4:iOS 3.0 ~ 4.3.5、iPod touch (3rd generation) 以降:iOS 3.1 ~ 4.3.5、iPad:iOS 3.2 ~ 4.3.5
影響:ユーザの Apple ID のパスワードがローカルファイルに記録される可能性がある。
説明:ユーザの Apple ID のパスワードとユーザ名はシステム上のアプリケーションから読み取ることができるファイルに記録されていました。この問題は、これらの資格情報の記録を廃止することで解決されています。
アカウントの不正利用がこの問題が原因だったかは今のところ不明ですが、これが原因だった可能性は十分にあると思われます。
