reynotch

reynotch

-
上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。
Posted by

reynotch

reynotch

-
 先日、Appleが「2段階認証」を導入したという記事を書いたばかりですが、なんと、この「2段階認証」を使用していないすべてのユーザが影響を受ける脆弱性が発見されたようです。

Apple、ついに2段階認証導入 ただし、日本はまだ : I believe in technology
「The Mac Security Blog」によると、ついにAppleも「2段階認証」を導入したとのこと。ただし、この機能が使えるには現時点で、アメリカ、イギリス、アイルランド、ニュージーランドのみ。



 その脆弱性について報じているのは「THE VERGE」。その記事によると、生年月日と電子メールアドレスさえ分かれば、誰でもそのユーザーのApple IDのパスワードをリセットできてしまうとのこと。

Major security hole allows Apple passwords to be reset with only email address, date of birth (update) | The Verge


 通常、パスワードを忘れた際には、「パスワードをリセットする」から正規の手続きを踏んでリセットすることができます。



 パスワードリセットには2つの方法があるのですが、「セキュリティの質問に答えてください」を選んだ場合に問題があるとのこと。



 本来なら利用者が事前に登録した「セキュリティ質問」に答える必要があるのですが、「THE VERGE」によると加工したURLを使用することでこれを回避し、生年月日と電子メールアドレスだけでパスワードのリセットが可能になるようです。
 
 Appleはこの報告を受け、すぐにパスワードリセット用のページを修正するため先ほどまでメンテナンスモード(実際にアクセスしたらタイムアウトして何も表示されなかった)に入っていました。現在、同ページにはアクセスできるので、修正が終了したのかもしれませんが、何のアナウンスもないので実態は不明です。

 それにしても、まだ「2段階認証」が利用可能なのはアメリカ、イギリス、アイルランド、ニュージーランドなど一部の国だけです。修正が完了していればいいのですが、そうでなければいまだ日本のユーザは危険にさらされていることになります。
 
 まずは、同脆弱性が修正されたのかどうかだけでも明らかにしてもらいたいところです。

追記
 「iMore」がfixしたと伝えています。修正は完了したようです。

Apple rolls out fix for password reset security hole, iForgot site back up | iMore.com

上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。