4月に「複数の会員サイトへの不正ログイン事件が発生」という記事を書いたのだが、その後も多くのサイトで不正ログイン事件が起きている。前回紹介したものも含め、3月から7月にかけて発生した事例についてまとめておく。

前回の記事に書いたように、Facebookではパスワードをリセットするための一つの方法として「セキュリティのための質問」を利用することができる。ただし問題がひとつある。Facebookでは一度設定した「セキュリティのための質問」をあとから変更することができない。他人が容易に推測できるような回答をうっかり設定しまう場合を考えると、これは非常に危険である。3人の架空のアカウントで友達になって…などとわざわざ面倒な方法を使わなくても、簡単にアカウントが乗っ取れてしまう。

そこでどうしても過去に設定した「セキュリティのための質問」を変更したい人のために、ややトリッキーではあるが変更することが可能な方法を紹介する。(ただし正規の手順というわけではないので、実行する場合は自己責任で*1。)

なお現在は「セキュリティのための質問」に代わる機能として「信頼できる連絡先」の機能が提供されている。「信頼できる連絡先」を設定すると「セキュリティのための質問」は無効になるので、こちらを使うことをオススメしておく。(「セキュリティのための質問」はアカウント設定に項目が表示されない。現在の設定状況を確認したい時はこのURLで確認できる。)

(2013-08-13 追記)
追加で検証したところ、上記の『「信頼できる連絡先」を設定すると「セキュリティのための質問」は無効になる』は間違いだということがわかった。「信頼できる連絡先」と「セキュリティのための質問」とを両方設定したアカウントでパスワードリセットを試みると、画面遷移上は「信頼できる連絡先」しか利用できないように見える。しかし直接「セキュリティのための質問」を利用するための URLにアクセスすると、「セキュリティのための質問」を利用してリセットすることが可能。
(別記事も参照のこと。)

前提条件
・対象となるFacebookアカウントにログインできること (現在のパスワードを知っていること)
・設定済みの「セキュリティのための質問」の回答を知っていること

手順
(1) パスワードリセット機能を利用してパスワードを再設定する。
(2) 古いパスワードでログインする。
(3) アカウント再開の手続きを行う。

1-1. 「パスワードを忘れた場合はこちら」をクリックする。
1-2. メールアドレスや名前などを入力して対象のアカウントを特定する。
1-3. 「上記メールアドレスが利用できない場合」をクリックする。
1-4. 新しいメールアドレスを入力する。
1-5. 「セキュリティのための質問」に対する回答を入力する
1-6. 新しいパスワードを入力する。

2-1. 古いパスワードでログインする。
2-2. 「誰かがあなたのアカウントにアクセスしようとしました」というメッセージが表示される。
→ 「私ではありません」をクリックする。
2-3. 「誰かがアカウントにアクセスしようとしましたか？」 というメッセージが表示される。
→ 「アカウントの安全を確保」をクリックする。

3-1. 「セキュリティのための質問」に回答し、本人確認を行う。
3-2. 新しいパスワードを設定する。
3-3. メールアドレスを確認する。
3-4. 最近行われた変更内容を確認する。
3-5. 「セキュリティのための質問」を再設定する。
3-6. 「ログイン」をクリックすると、アカウントのロックが解除される。

Edward Snowden氏のリークによって大騒動となっている NSAの監視プログラムについて、今週、米国議会の上院や下院において米政府からの情報開示や、NSA長官などの政府高官による証言が相次いで行われました。これらの情報から、現時点でのこの問題に関する米政府側の主張をちょっと整理してみます。

−−−−
上院情報委員会に提出された文書や、PBSのインタビューでのオバマ大統領の説明によると、NSAの監視プログラムは大まかに次の2つがある。これらはその根拠となっている法律の条項から 215 programや 702 programなどと呼ばれている。

• Section 215 of the USA PATRIOT Act にもとづくデータ収集 (215 program)
• Section 702 of the FISA Amendments Act にもとづくデータ収集 (702 program)

これらのプログラムはいずれも

• 法律によって規定された範囲内である (USA PATRIOT Act of 2001, FISA Amendments Act of 2008)
• 議会によって許可されている (authorized)
• 裁判所 (FISC: Foreign Intelligence Surveillance Court) によって承認されている (approved)
• 司法省 (DOJ)と国家情報長官室 (ODNI)によって定期的にレビューされている

(だから問題ないと米政府は主張している。)

215 program はバルクで電話会社からメタデータ(電話番号ペアや通話時間などの通話記録のこと。通話内容は含まない)を収集しているが、このデータを検索するには対象者が海外のテロリスト組織の活動に関係するという相応の根拠が必要。根拠のないデータ検索は違法となる。実際に2012年の1年間にNSAによって調査が行われたのは300件未満。また記録されたデータは5年以内に破棄される。なお下院情報特別委員会の公聴会でのNSA長官の証言によると、NSA内でこの通話記録データベースにアクセスできる権限をもつのは20人のアナリストと2人の管理者の合計22人のみである。

702 program はバルクではなく、特定のターゲットに関するメールなどのコンテンツデータを都度収集するもの。テクノロジー会社に対して個別にデータ開示の要求を行う。米国外の非米国民の通信だけを対象としたもので、意図せずに収集された米国民のデータは適切に保護される。

215 programと 702 programの2つの監視プログラムによる成果として、2011年9月11日の同時多発テロ事件以降、これまでに20ヶ国で50件以上、米国内だけに限定すれば10件以上のテロ実施計画を未然に防ぐことができたとしている。この中にはニューヨーク市の地下鉄爆破計画、ニューヨーク証券取引所爆破計画などが含まれている。

−−−−
(補足事項)
今回の騒動は、Verizon Business Network Servicesに対して 3ヶ月分(2013年4月25日から7月19日まで)の通話記録をNSAに提出するように求める FISCの命令書 ("Top Secret")が The Guardian紙によってスクープされたことからはじまった。またその後、実は 2006年から 3ヶ月毎にこの裁判所命令が更新され続けていることや、AT&Tなど他の大手電話会社に対しても同様に行われていることなども報道された。(215 program)

続いてリークされた PRISM(US-984XN)に関する "Top Secret"資料によると、このプログラム(702 program) に参加しているのは Microsoft, Yahoo, Google, Facebook, PalTalk, AOL, Skype, YouTube, Appleの 9社*1。このうち Facebook, Microsoft, Apple, Yahoo! の 4社は政府機関へのデータ開示の件数を公表したが、情報開示にあたって政府から求められた条件によって、一般の犯罪捜査に関するものもすべて含めたおおよその件数のみが公開された。そのためこのうち何件が PRISMに関連するものなのかはわからない。一方、Googleは PRISM関連のものだけを個別に開示する許可を求めて FISCに別途申し立てを行っている。

PBSのインタビューにおいて「FISCは NSAからのリクエストを承認せず拒否したことがあるのか?」との質問に対して、オバマ大統領は直接質問に答えなかった*2。FISCの承認という司法によるチェック機能が実際に有効に働いているとは言い難い*3。

テロを未然に防止したという成果についても、いくつかのケースではこれらの監視プログラムが決定的な役割を果たした場面もあるだろうが、すべてのケースではないだろう。プライバシーを脅かすような包括的な監視プログラムに頼らなくても、テロに対応できる方法は他にあるのではないだろうか? という当然の疑問が湧く*4。また監視プログラムの対象範囲についてもまだ曖昧ではっきりしない部分が多く、上記 2つのプログラム以外にも監視プログラムが存在する可能性はある。NSAは4つの監視プログラム(MAINWAY, MARINA, NUCLEON, PRISM) を運用しているとの報道もあり、それによると電話とインターネットの通信について、それぞれメタデータとコンテンツデータを取得しているとある。下院の公聴会では、NSAが 215 programで収集しているのは電話の通話記録だけだと NSA長官は証言しているが、一方で他の法執行機関は Section 215によってそれ以外の情報の収集も許可されていると司法副長官が証言している。

今後 Snowden氏からさらに機密資料がリークされたら、より詳しい内容がわかるかもしれない*5。

(Snowden氏は香港での最初のインタビューの際に亡命を希望する国としてアイスランドの名前を挙げていたが、Snowden氏がアイスランド政府に対して亡命を希望すると非公式に打診していることが 6/18日にわかった。)

最近、Microsoft、Twitter、Evernote、LinkedInなども相次いで 2段階認証 (two-step verification) のサポートをはじめ、主要なサービスでは必須の機能という感じになってきました*1。Appleでも 3月にアメリカ、イギリスなどから開始され、5月には対象国が拡大しました。日本でも使えるようになった…と思っていたのですが、どうも一部のユーザにフライングで設定項目が表示されただけで、正式なサービス開始ではないようです*2。

さてその Apple IDの 2段階認証について、先週 ElcomSoftが問題点を指摘する記事を公開して一部で話題になりました。

Apple Two-Factor Authentication and the iCloud « Advanced Password Cracking – Insight

In its current implementation, Apple’s two-factor authentication does not prevent anyone from restoring an iOS backup onto a new (not trusted) device. In addition, and this is much more of an issue, Apple’s implementation does not apply to iCloud backups, allowing anyone and everyone knowing the user’s Apple ID and password to download and access information stored in the iCloud. This is easy to verify; simply log in to your iCloud account, and you’ll have full information to everything stored there without being requested any additional logon information.

結論を先に書くと、Apple IDの 2段階認証で保護されるのは My Apple IDへのログイン、iTunes Storeでの購入など一部に限られ、iCloud上に保存されたデータの保護には役に立たない、というものです (Appleの FAQにもちゃんと書いてはあるのですが)。実際、iCloud.comへのログインでは 2段階認証は使われておらず、Apple IDの 2段階認証を有効にした状態でも、Apple IDとパスワードのみでログインできてしまいます。iCloud上にバックアップしてある iPhoneや iPadなどのバックアップデータを全く新しい別の機器にリストアすることも可能です。

このように Apple IDの 2段階認証はやや中途半端な感じではありますが、現状では仕方のない面もあります。Google、Facebook、Microsoftなど多くのサービスでは TOTP (Time-based One-Time Password Algorithm) に準拠した仕組みを導入しており、認証アプリや SMSなどで 2段階認証用のコードを送信するのが主流となっています。しかし Appleでは iCloudの Find My iPhone (「iPhoneを探す」) 機能を使って独自の 2段階認証を実現しています。そのため iPodや iPadなど SMSを受信できない機器でも認証コードを受け取ることができるというメリットがあります*3。また複数の機器で認証コードを受け取ることもできます。一方で、信頼できるデバイスとして登録した機器をバックアップデータを利用してリストアしようとした場合、他に登録機器がない場合には認証コードを受け取る手段がなくなってしまいます。そのため今の仕組みのまま iCloudへのアクセスに 2段階認証を適用することができないのかもしれません。

しかし Apple IDの 2段階認証では iOS機器を信頼できるデバイスとして登録する以外に、SMSを受信可能な携帯番号を登録することもできます(ただし現在はアメリカ、イギリス、オーストラリア、ニュージランド、アイルランドのみ対応)。Find My iPhoneと SMSをユーザが併用することによって、上記の iCloudの問題も解決できるような気もしますが、どうなんでしょうか*4。

Appleユーザとしては iCloud上のデータも 2段階認証で保護してほしいところです。Appleになにか良策はあるのでしょうか…？

(参考)
日本ではまだ正式サービス前のようですが、2段階認証を有効にするとどうなるか、簡単に紹介しておきます。

Apple IDの2段階認証を有効にするには、「信頼できるデバイス」を設定する必要があります。登録済みの iOS機器が一覧表示されるのでこの中から複数選択することができます。または認証コードを SMSで受信するための携帯番号を追加することもできます(前述のとおり現在は対応している国が限られます)。

2段階認証を有効にした状態で My Apple IDにログインをすると、IDとパスワードを入力したあとに本人確認の画面が表示されます。ここでさきほど登録した「信頼できるデバイス」の中から確認コードを送信するものを一つ選んで送信します。

あとはデバイスに送られてきた確認コード (4桁の数字) を入力することでログインできます*5。

なお、2段階認証を有効にすると、パスワードリセットの方法が変わるので注意が必要です。
2段階認証が無効の状態では、以下のうちどちらかの方法を選択してパスワードをリセットすることができます。

• Eメール認証 (あらかじめ登録した修復用メールアドレスにメールを送信する)
• セキュリティ質問に答える

ところが 2段階認証を有効にすると、以下の両方の情報が必要になります。

• 復旧キー
• 信頼できるデバイスによる確認コード

2段階認証を有効にすると、もともとあった「修復用メールアドレス」と「セキュリティ質問」の設定項目は表示されなくなり、パスワードリセットにも使えません*6。

詳しくは以下の FAQをどうぞ。2段階認証を利用する場合の注意点なども詳しく解説されています。
Apple ID の 2 ステップ確認についてよくお問い合わせいただく質問 (FAQ) - Apple サポート