ブログパーツ
外国為替
i2i無料WEBパーツ

2010年01月30日

Apple iTunes Storeは、こうして「なりすまし」された



スポンサードリンク


このエントリーをはてなブックマークに追加
1月29日(金)朝日新聞の夕刊社会面に
『iTunes IDに危険 簡単に「なりすまし」』
という記事が掲載されました。


そんな簡単に「なりすまし」ができるのか?
実際に検証してみました。



iPod nano & iTunes Music Store完全使いこなしマニュ

応援お願いします→ブログ情報源ランキング

朝日新聞によると
『代金の不当請求被害が多発しているiTunes Storeで、
一定の条件がそろうと、見ず知らずの他人に音楽ファイル
などを買われる状態になる』
と書かれています。


「一定の条件」とは何か?


実際の実例が書かれています。
神奈川県の男性がiTunes StoreでIDとパスワードを
登録する際に、IDとして登録するメールアドレスの
入力を誤って、間違ったメールアドレスで登録して
しまった。


ところがたまたまそのメールアドレスは実在する
愛知県の男性のメールアドレスであったために、
愛知県の男性にiTunes Storeから登録完了メールが
届いた。


愛知県の男性は登録完了メールの内容をもとに
パスワードを変更し、IDと変更したパスワードで
iTunes Storeにログインすると、神奈川県の男性の
クレジットカードで音楽が買える状態になったという
ものです。


ただ、愛知県の男性は事の重大さを察知して、
神奈川県の男性に連絡をとり、トラブルにはならなかった
とのこと。


この実例で疑問に思うのは、
愛知県の男性がなぜパスワードを変更できたのかという事です。


それを検証するため、実際にiTunes Storeで新規アカウントの
登録を行ってみました。


新規アカウントを登録すると、iTunes Storeより登録完了
メールがどどきます。
登録完了メールには以下の文章があります。
-------------------------------------------
パスワードを忘れてしまった場合、またはカスタマー
サービスをご利用になりたい場合は、こちらまで
http://www.apple.com/jp/xxxx/xxxxxxxxxxx/xxxxxx/
-------------------------------------------
(URLはマスキングさせていただきました)

上記URLにアクセスすると、パスワード変更画面に誘導
されます。
スクリーンショット(2010-01-29 23.45.28).png

上記画面でアカウント登録したときのApple ID
すなわちメールアドレスを入力します。
すると次の画面が表示されます。

スクリーンショット(2010-01-29 23.47.48).png


上記画面のOption1(左側)のメール送信ボタンを押すと
自分のメールアドレスに「パスワードの再設定方法」という
メールが届きます。
届いたメールにあるリンクをクリックすると
パスワード登録画面が開きます。

スクリーンショット(2010-01-30 0.46.33).png

この画面で新しいパスワードが登録できます。


以上のように、Apple IDさえ知っていれば、
パスワードが簡単に変更できて、新しいパスワードで
iTunes Storeにログインできることがわかりました。

簡単にパスワード変更はできますが、
悪意のある他人にApple IDを盗まれたとしても
iTunes Storeからのパスワード変更方法メールは
本人に届くので、危険性は少ないとは思います。


ただ、朝日新聞のような事例もあるわけですから
Apple IDのパスワード変更方法をAppleは、
至急改善すべきです。
新規アカウント登録時に、秘密の質問や
誕生日を登録したのですから、
せめてこの2つの認証をしてからでないと
新規パスワードの変更画面に進むべきではないと
思います。


Appleが上記を改善するまでは、Apple IDの管理に
みなさん十分注意してくださいね。



Skype、iTunesをワイヤレスで楽しむ!多少難有り 大特価! VOIISmini

応援お願いします→ブログ情報源ランキング
このエントリーをはてなブックマークに追加

スポンサードリンク


madeonamac20050720.gif


posted by approfan at 00:58 | Comment(7) | セキュリティ | このブログの読者になる | 更新情報をチェックする
この記事へのコメント
貴重な情報ありがとうございます。
ただ、一つ疑問に思ったのですが、もし他人のAppleIDであるメールアドレスを知っていたとしても、メールappの環境設定の中の「受信サーバー」でパスワードが設定されていないと受信できないのではないでしょうか?
どうなんでしょう。。。
Posted by rascal at 2010年01月30日 15:09
rascalさん
コメントありがとうございます。
おっしゃる通りです。他人のApple IDを知っただけでは不正アクセスできません。
問題は、朝日新聞の事例の様に、Apple IDを登録する時に、誤って他人のメールアドレスを設定してしまった時などにおこります。ですから、簡単には不正をする事はできません。しかし、条件がそろえば、知らぬ間に不正アクセスされる状況にはあります。なので、ユーザーは注意する必要があります。
Posted by approfan at 2010年01月30日 17:45
突然の書き込み失礼します。
2010/09/05に、iTunes Store のアカウントの確認とメールがきました。
なりすましなどで検索してここのサイトにたどりつきました。
まさしく事例と同じで個人情報をみてしまいました。

ひと昔のことですがアップルの対応て、きちんとやってるのでしょうかね?

Posted by XYZ at 2010年09月09日 16:59
XYZさん
コメントありがとうございます。
2010/9/5に同じ事が起こったとしますと、
Appleはこの問題に対する改善をしていない
という事になります。
残念ですね。
もしかしたら、Appleは問題の本質をきちっと
捉えていない可能性があります。
できれば、XYZさんが、当事者としてAppleに
今回の問題を伝えて頂けると一番よろしいのでは
ないかと思います。その際このブログ記事をご利用いただくのはかまいません。
是非、ガツンと一喝してやって下さい。
Posted by approfan at 2010年09月09日 18:31
突然の書き込み失礼します

XYZさんと同様、どうやら、1/2に私のメールアドレスにてアカウントを作成してしまった人がいたらしく、更に、その後届いた購入明細にて、その人の個人情報が当方に送付されてしまっていましたので、サポートの方に連絡しました。

itunes store アカウント 他人のメールアドレス

で検索をしたところ、このブログにたどり着きましたが、1年近く前に発生した問題に、未だに対応できてないというのは非常にお粗末な印象を持ちます。
Posted by naosky at 2011年01月08日 05:21
naoskyさん
コメントありがとうございます。
困ったものですね。まだ対応されていないのですね。

一度私の方からもAppleにアプローチしてみたいと
思います。
Posted by approfan at 2011年01月08日 07:56
こんばんは。twitterでやり取りをさせてもらった者です。

不正にアクセスされて、気がつくとDLした覚えのないアプリがiPhoneに鎮座しているのは正直ぞっとしました。

しかもそのアプリの中のアドオンで請求されている。「帝國」というゲームアプリは中国のものです。

iTunesSroreからの警告メールを時系列で確認すると、まず奴らは深夜にアカウントを変更します。

持ち主が警告メールを受けてパスワードを変更しないのを確認して、無難な無料アプリをDLします。

それでもダイジョウブと見るとゲームアプリをDLし、中のアドオンで消費します。

誠に恐ろしい。

同日(実は前日でした)に被害に遭われた方は、被害金額が返金されたようです。

今後の使い方に神経を尖らせねばいけませんね。
Posted by zuc0315 at 2011年07月09日 00:40
コメントを書く
お名前: [必須入力]

メールアドレス:

ホームページアドレス:

コメント: [必須入力]

認証コード: [必須入力]


※画像の中の文字を半角で入力してください。
※ブログオーナーが承認したコメントのみ表示されます。
Apple Products Fanショップ入口
名前はミニでもビッグなレンタルサーバー、ミニバード
Apple Products Fan トップへ
Copyright (C) 2009 Apple Products Fan, All rights reserved.
×

この広告は1年以上新しい記事の投稿がないブログに表示されております。