アップルIDが乗っ取られた場合の対処法
主に2013あたりにアップルIDの乗っ取りがとまらなかったことがある。
今回、私がやられたので、その対応方法を考える。
というか、例の三つの質問が役に立たないので、別の代替案をコミュニティに書き込んだところ、アップル側から速攻で削除されてしまったので、ここに書き留めておきたいというのが本心。
以下のような内容を書いた。
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
- -
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
おそらく今回のケースはアカウントの乗っ取りです。
アップルIDとパスワードがハッカーにみやぶらてしまったのですね。
クレジットカードの情報も書き換えられているところを見ると、そのように可能性が高いと思います。
さらにそうなるとアップル側が本人の同一性の証明に使ている三つの質問も書き換えられている可能性が高いと推測できます。
つまり、三つの質問を
・両親が初めて会った町の名前は? あいうえお
・初めて飼ったペットの名前は? かきくけこ
・初めて使用した車の名前は? さしすせそ
という具合に書き換えた場合、おそらく何度試しても答えにたどり着くことはできないでしょう。
データベースレベルで見ると、例えばこんな風になっているのだと思います。
tbl_1(ユーザー情報のテーブル)
ID | apple Id | password | qesition1 | answer1 | question2 |
1 Jobs@apple.com appleCEO 両親が・・・ California 初めて・・
2 geek@hoge.com ****** 両親が・・・ あいうえお 初めて・・
3 以下同様
もちろんanswer1 などはセキュリティの面から暗号化されていると思いますが、このようにテーブルのカラムを書き換えられると例の“秘密の質問”では、本人確認は取れないことは理解できるでしょう?
ただ、それでは、私がID 2 にたどり着くことができないかというと、できないわけではないというのが、私の見解です。
重要な手がかりとして、端末とコンテンツは私が握っており、購入アイテムと購入時のappleId と購入日時は iTunes上で表示できます。
これをデータベースレベルで見ると例えばこんなデータ構造が考えられます。
tbl_2(商品情報のテーブル)
Item_ID | 商品名 |作者 | price |……
1 Steve Jobs:The exclusive biography part1 Walter Isaackson ****
2 Steve Jobs:The exclusive biography part2 Walter Isaackson ****
3 Steve Jobs:The exclusive biography part3 Walter Isaackson ****
以下同様
tbl_3(購入履歴のテーブル)
ID(tbl_1参照)| item1 (tbl_2参照) | 購入日時 1 | item2 | 購入日時2 |…
2 1 2011:1202:12:42 2 2011:1202:12:42
以下同様
ちょっと難しいかもしれませんが、理解していただけるでしょうか?
このデータ構造だと(よくスキーマという言い方をします)購入履歴から(つまりはtbl_2 とtbl_3 の情報から)
「Idが2の人は、2012年12月21日12時42分にスティーブジョブズの伝記本を買った」
という事実が確認できるわけです。
具体的には、私が持っている購入履歴を元に、tbl_3を (tbl_2を参照しつつ)検索をかけ購入履歴とデータが一致するレコードを絞り込んでいくわけです。これがうまくいけば、tbl_1 の ID がgeek@hoge.com)つまり私、を特定することができるわけです。
複数の購入アイテムを同じ日に購入する人はほとんどいないはずなので(つまり購入履歴はかなりユニークなので)、これで個人の特定ができるという理屈です。
さらには、tbl_1 からクレジットカードの情報も取得できるので、(カード会社が協力してくれればの話ですが)ハッキングした人も特定できます。
ちょっと難しい内容なので一度では理解できないかもしれませんが、上のような条件になっていると
・三つの秘密の質問では(おそらく)本人確認は難しい
・購入履歴から本人確認をする方が確実
・不正アクセスをしたハッカーを特定できる可能性が高い
ということになります。
もちろん、実際のデータ構造(スキーマ)は違ったものになっているでしょうし、データベースレベルで実際のデータを見ないと上のようなことは実現はできません。
よくわからないのは、個人情報が流出しているというエマージェンシーな事態が生じているにも関わらず、
(個人情報保護法や不正アクセス禁止法に抵触している?)、アップルがこういった方向性の解決策を取ろうとしないことです。
また、アップルは、不正アクセスがあったことをを文書化・公開することを拒んでいるため、警察に頼んでも捜査の初動が遅れるという弊害を被っている人はかなりの数がいるようです。
なお、私はアプリの類は犠牲にし、楽曲をDRM解除にし、アンドロイド機への乗り換えを考慮しています。
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
- -
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
最後のあたりが削除になった理由でしょうかwww
ただ、マカーが今一つ主流になれないのも、こういった情報統制を取るアップルを信頼しきっている点なんじゃないかなと私なんかは思う。デバイス自体は掛け値なしに美しいんだけど、サポート体制であったり、運用の技術レベルがなんか違う方向を向いているというか・・・なんかうさんくさいんだよね。