Apple IDのログインを失敗するとどうなるか確認しましたよ。
最近話題になっているApple IDですが
気になったので自分のApple IDでログインの失敗をするとどうなるのかの確認をしてみました。
きっかけはこちらの記事に以下のようにあったためです。
まず実際に筆者がApple IDで受けた経験を基に、リスト攻撃を受けた際の状況を見てみよう。
図1は、筆者がApple IDに対して攻撃を受けた際に、Appleから受け取ったパスワードリセットに関するメールのスクリーンショットである。このメールは図2に示した通り、2013年10月22日から23日の間に5回届いている。つまりこの短期間に5回の攻撃を受けたということだ。
このページから「Apple IDを管理」を選択。
この画面は「サインイン」の画面にある「パスワードをお忘れの場合」をクリックしたときと同じページです。
ここで自身のApple IDを入力すると(数回間違えた際にはサインイン時に入力したものが自動で入力されるようです。)以下のような画面に移ります。
ここで「Eメール認証」を選択して「」次へをクリックすると設定しているメールアドレスにパスワード再設定のためのリンクが記載されたメールが「appleid@id.apple.com」から届きます。
ボクが試して範囲では、ログイン試行を3回失敗して、なおかつ、「Eメールによる認証」を行うという選択をしなければAppleからのパスワード再設定のメールは届かないということが分かりました。オンラインパスワードクラッカーなどを使って多くの試行を行ってはいませんがそれだけではこのメールは届かないような気がします。試しに手動でパスワードの再設定を行わず10回ほどサインインの失敗をしてみましたがメールは届きませんでした。ログイン試行を繰り返す攻撃だけでは通知はいかないものと考えられます。
ボクの気になった記事とは別に
フィッシング?:アップルIDのパスワード狙う 大量にメール送信
や
【注意喚起】Apple IDの「パスワード再設定」をかたるメールに注意 / 念のためパスワード等の変更を
といった記事が出ていますがこれがフィッシングメールかどうかというところはこの話とは別に気になります。
もちろん、身に覚えのないメールであれば放置しておくことが一番だと思います。
どなたか受け取った方いらっしゃいましたらこっそり情報いただけると嬉しいです。
【10月27日追記】
このメールがフィッシングではないということを前提条件としてAppleからのメールを送ることで成立する攻撃を行なうためには、攻撃を行なうターゲットのメールアカウント自身の制御下に置いておく必要があると思います。
つまり、Apple IDでパスワードをリセットする前にリセット用のURLが送信されるメールアカウントを事前に乗っ取っておくということです。そうすれば、攻撃者は、リセットメールに記載されたURLにアクセスすることで自身の好きなパスワードを設定することが可能であるためターゲットのApple IDを乗っ取ることに成功することでしょう。
しかし、攻撃者はリセットを行なった後のメールは正規のユーザが見る前に削除すると思いますし、Apple IDのパスワードをリセットして正規のユーザのものと異なるものを設定した場合は、正規のユーザが利用するタイミングで発覚してしまいますね。発覚するまでに不正利用してしまうという考え方もあると思いますが、攻撃者としては正規のユーザが設定したパスワードを知りたいと思うような気がしますね。
転送先を追加しておくということも考えたのですが、それでも正規のユーザの目にメールが触れてしまうことを避けたいと考えるでしょう。
ものは試しということで自分のgmailアカウントに転送設定をしてみたのですが転送設定を完了させると転送元にログインした時点でこのような通知が表示されます。
設定では転送したメールをメールボックスから自動で削除することもできます。
また、outlook.comでもgmail同様に設定ができ、転送されていることの通知も表示されました。
引き続き、Apple IDからこの手のメールが来た方いらっしゃいましたら情報をいただければ幸いです。