이 8 월말부터 해외 유명 연예인의 개인 사진이 유출되는 사건이 미디어를 시끄럽게하고 있습니다. 이러한 연예인의 개인 정보는 원래 익명 방식의 화상 게시판 "4Chan"에 게시되어 있으며, 작성자는 가장 고액 입찰자 개인 사진과 동영상을 판매하고있었습니다. 이 유명 인사의 개인 정보 유출은 iPhone 등 Apple 사의 제품에서 사용할 수있는 클라우드 서비스 'iCloud'위에서 공개 한 즉 iCloud가 어떤 방법으로 해킹 된 것으로 추측되고 있습니다.
그러나 Apple 사의 성명에 따르면 iCloud 서비스에 대해 대규모 해킹이 발생했을 가능성은 낮은 것 같습니다. Apple 사에서는 이번 정보 유출은 iCloud 시스템 자체에 대한 해킹이 아니라 각 사용자 계정의 암호 나 「비밀의 질문」등의 인증 정보를 확인하는 방법에 대한 무단 로그인 의한 것,하고 있습니다.
iCloud 이용시 인증에 사용되는 "Apple ID"탈취 사례에 관해서는 6 월 9 일 블로그 기사 에서 언급대로 이전에서 발생하고 있습니다. 이번 iCloud에서 정보 유출의 원인 일 것이다 비밀번호 특정 방법에 대해 트렌드 마이크로의 Global VP of Security Research이다 Rik Ferguson는 다음의 가능성을 지적하고 있습니다 :
- 간단한 암호 설정 :
피해를당한 iCloud 이용자가 모두 쉽게 추측 할 수있는 비밀번호를 사용하고 있으며, 공격자는 쉽게 암호를 찢어했다. 간단한 암호 공격 방법으로 암호에 사용되기 쉬운 문자열 목록을 사용하여 로그인 시도 "사전 공격"과 존재를 파악하고 여러 계정에 대한 암호를 고정하여 로그인 시도 "리버스 무력"등 공격 방법이있다. - "암호 재설정"기능을 악용 :
피해를당한 iCloud 이용자의 이메일 주소를 공격자가 공격 전에 입수해야하며, 이용자가 "이중 인증"이다 2 단계 확인을 설정하고 없는 것이이 공격의 전제가된다. 이 경우 암호 재설정을 위해서는 기존 방식 인 '비밀의 질문」(Apple ID는 "보안 질문")가 사용된다. 그러나 연예인의 경우에는 특히, 예를 들면 "처음 다닌 학교는?"과 "처음 기른 애완 동물의 이름은?"와 같은 일반적인 질문의 대답은 SNS 등 인터넷에서 의식하지 않고 공개 버리고있을 가능성이있다. - iCloud 관련 다른 계정 하이재킹 :
공격자는 보안 및 암호가 비교적 약한 iCloud에 연결된 다른 계정, 예를 들어 iCloud에서 전송되는 암호 재설정 메일 수신에 사용한 Web 메일 계정 등을 탈취 거기 에서 마지막으로 iCloud를 침해했다. - 암호 사용 돌리기 :
계정 목록 공격의 대두에 의해 여러 서비스에서 동일한 비밀번호를 사용하는 경우, 하나의 서비스에 대한 정보 유출하면 다른 서비스에서도 계정 침해가 발생한다. iCloud 이용자가 이미 공격을받은, 혹은 민감한 다른 서비스와 동일한 암호를 iCloud에서도 사용하고 있던 경우 공격자는 iCloud에 쉽게 액세스 할 수있다. 또한 유출 된 개인 정보를 쉽게 검색하는 서비스와 절취 된 개인 정보의 판매량 과다하여 절취 된 정보의 가격은 하락하고있는 배경이 있고 공격자는 계정과 암호 목록이 입수 쉽게되어있다. - 피싱에 의한 계정 정보 절취 :
표적으로 한 iCloud 이용자에게 피싱 메일이나 SNS의 쪽지를 보내 가짜 로그인 페이지로 iCloud의 인증 정보를 입력시켜 사취한다. 이것은 복잡한 해킹을하는만큼의 효과가있다. 실제로 Apple ID 등 Apple 관련 정보를 노리는 피싱 사이트는 2014 년 들어 급증, 2014 년 2 분기에 처음으로 15,000 건을 돌파하고있다.
 |
이번 iCloud 사례에서 우리가 배울 수있는 것은 무엇입니까? 일본에서는 2013 년부터 계정 목록 공격으로 대표되는 온라인 서비스 계정 침해가 밝혀지고 있습니다. 특히 2014 년 2 분기 에는 61 만건 이상의 계정이 침해를 받았다고 공표되고 있습니다. 납치 된 계정에서 사기 메일이나 고액 티켓의 부정 구입 등 이용자에게보다 구체적인 피해도 증가하고 있습니다. 잘못된 로그인하여 계정 침해의 피해를 당하지 않도록하기 위해 트렌드 마이크로는 다음과 같은 조치를 권장합니다 :
- 보안 강화 방법을 적극적으로 이용
이용하고있는 온라인 서비스에서 보안을 강화하는 방법이 제공되어 있으면 적극적으로 사용합시다.이미 많은 서비스가 이중 인증 두 단계 인증 등의 강화 된 인증 방법을 제공합니다. 예를 들어, Apple ID는 " 2 단계 확인 "을 사용할 수 있습니다. 확실히 로그인시 조금 복잡하게 될지도 모르지만, 당신의 디지털 라이프의 중심이되어 서비스가 악용되면 더 복잡하게되는 것은 틀림 없습니다. - 암호 재사용 종료 :
여러 Web 사이트 나 온라인 서비스에 동일한 암호를 사용하는 것이 언제나 좋은 것은 지금까지 여러 번 발생하는 계정 목록 공격에 의한 계정 침해가 증명하고 있습니다. Web 사이트마다 다른 암호를 설정하십시오. 비밀번호 관리의 부담이 너무 크다고 느껴지는 경우에는 암호 관리 소프트웨어 등의 부담 완화를 도입하는 것이 좋습니다. - "비밀의 질문」의 설정 방법을 바꾼다 :
암호 재설정시 등 본인 확인을 위해 사용되는 '비밀의 질문」에 관해서는 대답이 정말 안전한지 생각해보십시오. '안전'이라는 것은 그 질문에 대답 할 유일한 사람은 당신 뿐이라는 의미입니다. 그 대답이 사실 일 필요는 없습니다. 당신이 기억할 수있는 것이면 무엇이든 좋다. "최초의 학교는" "첫 번째 애완 동물"같은 일반적인 질문에 대한 "진정한 해답"은 SNS 등 인터넷의 상호 작용 속에서 무의식적으로 공개 버리고있을 수 있습니다. - 온라인 서비스에 어떤 데이터가 저장되어 있는지 파악하는 :
디지털 데이터는 당신이 "삭제"했다고해도 그 존재가 완전히 삭제는되지 않을 수 있습니다. 자신이 사용하는 온라인 서비스를 파악하고 백업 및 쉐도우 복사본이 저장되어 있는지, 또한 그들이 어떻게 관리되고 있는지 확인하십시오. 바로 이번 사례였다 있도록 모바일 단말기에서 삭제 한 정보가 온라인 서비스에 남아있는 경우도 있습니다. - 종합적인 보안 소프트웨어를 도입 :
아무리주의하여 암호 나 「비밀의 질문 "을 다룬해도 너희를 속이는 피싱 사이트 및 당신의 PC와 스마트 폰에 침입하는 악성 프로그램에 해당 인증 정보 자체를 가지고 버려서는 본전도 없습니다. 개인 정보를 노리는 위협으로부터 당신을 보호하는 종합 보안 대책 소프트의 도입은 대책의 대전제입니다.
■ 트렌드 마이크로의 대책
암호 쓰기 드라이버는 위험하지만 여러 사이트에 대해 다른 암호를 설정, 운용하는 것은 인터넷 이용자에게 큰 부담이됩니다. 트렌드 마이크로의 암호 관리 도구 " 암호 관리자 "를 사용하여 암호 복잡성을 유지하고 동시에 여러 사이트에서 모든 다른 암호를 사용하는 운영상의 부담을 경감 할 수 있습니다. 또한 " 바이러스 버스터 클라우드 "는 악성 프로그램 탐지를 비롯해 피싱 등의 불법 사이트 접속 차단 등 종합적인 위협 방지 기능을 제공합니다.
참고 기사 :
by Rik Ferguson (Global VP Security Research)
번역 : 시나가와 아키코 (Core Technology Marketing, TrendLabs)
'Security_News > 해외보안소식' 카테고리의 다른 글
| 다이어 악성코드, 세일즈포스 사용자 노려 (0) | 2014.09.10 |
|---|---|
| OpenSSL 프로젝트, 취약점 관리 정책 발표 (0) | 2014.09.10 |
| "Operation Huyao": 하나의 사이트에서 다수의 점포를 가장 가능한 피싱 사이트 (0) | 2014.09.09 |
| 암호화 소프트웨어 PGP 필요한 개선점은 (0) | 2014.09.09 |
| 네트워크를 보호하기 위해 네트워크 보안에서 IT 관리자가 배울 수 (0) | 2014.09.09 |