Appleはロシア人ハッカーのAlexey V. Borodin氏と同氏が開発した、セキュリティ対策の迂回手法のことを快く思っていない。その手法は、「iOS」搭載端末の所有者が料金を支払うことなくアプリ内の有料コンテンツをインストールすることを可能にする。
The Next Webによると、Appleは先週末、Borodin氏が同手法を容易にするために使用しているサーバのIPアドレスをブロックしたという。さらに、同社は同氏のサーバのホスティングプロバイダーに削除要請を出した。Borodin氏はこの手法を実際に実行しているところを撮影した動画を投稿しているが、Appleは著作権侵害を理由に動画をYouTubeから削除することも要請した。
Borodin氏は先週、アプリ内購入のリクエストをAppleまたは開発者のセキュアなサーバから、Appleが管理しているように偽装したサーバへとリダイレクトするエクスプロイトを公開した。その偽サーバは、顧客が仮想グッズの料金を支払わなくても、アプリ内購入の決済リクエストを許可してしまう。
iOS端末の所有者にとって、この脆弱性を利用するにあたっての障壁はそれほど高くない。Borodin氏によると、ユーザーが行わなければならないのは、2つの特別なセキュリティ証明書をインストールし、DNS設定を変更した状態でWi-Fiを通して購入を実行することだけだという。Borodin氏が先週末にThe Next Webに話したところによると、その時点で、同氏のサービスをとおして、3万件以上のアプリ内「購入」が実行されたという。
Appleは即座に反応し、米CNETに対して、現在この問題を「調査中」であり、「詐欺行為の報告を非常に深刻に」とらえていると言って開発者を安心させた、と述べた。
The Next Webによると、そうした懸命な取り組みにもかかわらず、エクスプロイトは未だに猛威をふるっているという。Borodin氏がThe Next Webに述べたところによると、同氏はロシア以外の「海外の国」でホストされる新サーバーへの移行を既に済ませているという。旧サーバはロシアにあった。さらに、同氏は認証プロセスを「App Store」に依存しなくてもいいようにエクスプロイトを改良したため、Appleが同氏を止めることはより困難になっている。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス