Apple IDのパスワードを生年月日だけでリセットできる脆弱性が見つかる

Appleは3月21日から米国や英国などでApple IDに2段階認証オプションを追加したが、このオプションを有効にしていない場合に生年月日だけでパスワードをリセットできる脆弱性が見つかったそうだ(The Vergeの記事、MacRumorsの記事、Engadget日本版の記事)。

方法はiForgotでApple ID(メールアドレス)を入力し、認証方法でセキュリティー質問に答えるオプションを選ぶ。あとは生年月日を入力してからPOSTパラメーターを書き換えることで残りの質問に回答することなく新しいパスワードが設定できてしまうといったものだったようだ。The Vergeの続報によると、脆弱性の存在を確認したAppleが修正作業を行っているとのことでサービスは一時停止していたが、午前11時過ぎの段階で復旧した模様。

追記14:20: iMoreの記事によれば、脆弱性は修正済みのようだ。　スラッシュドットのコメントを読む | ITセクション | セキュリティ | バグ | アップル

　関連ストーリー：
Apple、App Storeでの通信をすべてHTTPS化 2013年03月10日
Apple、Javaプラグインの脆弱性を狙った攻撃を受ける。社内コンピュータの一部がマルウェアに感染 2013年02月21日
Vodafone UK、iOS 6.1にアップグレードしないようiPhone 4Sユーザーに通知 2013年02月10日
Safariに脆弱性が見つかる。Windows版は新バージョンが出ていないためIPAなどが使用停止を勧告 2012年10月23日
iOS 5の脆弱性はもう修正されない？ 2012年10月02日
iOS 6のSafariでAjaxを使用するWebサイトが正しく動作しない問題 2012年09月26日
iOS 6の地図アプリが大きく劣化、各所で話題に 2012年09月20日
SMSに差出人を偽装できる脆弱性、Apple「iMessageを使え」 2012年08月22日
パスワード失念時の「秘密の質問」に答えて3200以上のアカウントを不正入手した男 2011年01月18日
Apple Storeのアカウント乗っ取り脆弱性を修復 2003年05月08日