Apple IDのパスワードリセットに脆弱性。修正済み

写真拡大

他人の Apple ID をメールアドレスと誕生日だけでリセットできる脆弱性が見つかったと、リンク先の The Verge が伝えています。現時点でアップルからのコメントはなく(更新:ありました。追記参照)、また具体的な方法を書くこともできませんが、 アップル公式 My Apple ID サイトのパスワードリセットページ ( " iForgot " のリンク先) は現在「メンテナンスのため一時的にご利用いただけません。」になっています。

追記:アップルの回答がありました。問題は認識しており、修正作業中とのこと。

追記2: 復旧。最初にパスワードリセットページのメンテナンスダウンが確認されてから数時間。

アップルは Apple ID のセキュリティ向上のため、一部の国で二段階認証の提供を開始したばかりですが、今回のパスワードリセット脆弱性はこの二段階認証を有効にしていない (あるいは提供されていないため有効にしようがない) ユーザーに影響を与えるものとされています。

パスワードリセットハックの方法は、パスワードリセットページで対象ユーザーのメールアドレスを入力し、「秘密の質問に答える」のほうを選んだあと、「ある加工したURLを使う」もの。詳細は伏せますが、特に技術的な知識は必要ない単純な方法です。

(とはいえ、通常はしない手順を踏む必要があります。セキュリティ意識が絶望的に欠如した一部のサービスやサイトでままあるように、仕様としてメールアドレス+誕生日だけで認証できるようになっていたわけではありません。)

Engadget 編集部でも方法については情報を得ていますが、アップルがリセットページを落としてしまったため検証はできていません。