米国時間8月3日、Wiredの記者であるMat Honan氏のオンラインライフすべては、Phobiaと名乗るハッカーによって台無しにされた。PhobiaはHonan氏の「AppleCare」およびAmazonのIDと、同氏の請求書送付先住所、クレジットカード番号の末尾4桁を使用し、同氏のさまざまなオンラインアカウントに侵入した。既にAppleは6日、データ保護を確実なものにするため、ユーザーのパスワード変更方法を見直していると回答している。そして7日、Amazonも回答を行った。
Amazonの関係者は7日、米CNETに対して「われわれは、報道されたエクスプロイトを調査、対処したため、6日の午後以降はそういったエクスプロイトが行えないようになっている」と述べている。
PC Magazineによると、この対処により、Amazonのユーザーはもはや電話でアカウント設定の変更ができなくなっているという。これは小さいが重要な変更である。というのも、Amazonに電話をかけることで、Phobiaは最終的にHonan氏のGoogleアカウントやTwitterアカウントを削除し、さらには同氏の「MacBook」や「iPad」、「iPhone」のデータもすべて削除したためである。
PhobiaがHonan氏のAmazonアカウントに侵入した手口は、Honan氏になりすまして同社に電話をかけ、同氏のアカウントにクレジットカード情報を追加するというものだった。このためにPhobiaが必要としたのは、Honan氏の名前と電子メールアドレス、請求書送付先住所のみだった。その後、Phobiaは再びAmazonに電話をかけ、アカウントにアクセスできないと訴えて、最初の電話で登録したクレジットカード情報を用いて新たな電子メールアドレスを登録したうえで、Honan氏のパスワードをリセットしたのである。
Phobiaは、そこから芋づる式にHonan氏のAppleアカウントを入手し、AppleCareに電話をかけ、同氏の「iCloud」アカウントへのアクセス権を得て、すべてを削除したのだった。
Honan氏はWiredの記事中で「しかし、私の身に降りかかったことにより、複数の顧客サービスシステム、特にAppleとAmazonのシステムにはセキュリティ上の致命的な欠陥があることが明らかになった。Appleの技術サポート担当者はハッカーに対して私のiCloudアカウントへのアクセスを許可してしまった。またAmazonの技術サポート担当者は、ハッカーに対してクレジットカード番号の一部を見る術を与えてしまった。そしてハッカーはその番号を利用してAppleから情報を引き出したというわけだ。つまり、Amazonがウェブページ上に表示しても問題ないと考えたその4桁の数字は、Appleが身元確認に利用できる機密情報に当たると考えた数字そのものだったということになる」と述べている。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス