アップル、「Find My iPhone」の脆弱性に対応

Adrian Kingsley-Hughes (Special to ZDNet.com) 翻訳校正: 編集部2014年09月02日 07時51分
  • このエントリーをはてなブックマークに追加

 Appleは、同社のオンラインサービス「Find My iPhone」の脆弱性を修正した。有名人の写真が最近立て続けに流出した問題で、ハッカーらはこの脆弱性を利用してアクセスした可能性がある。

 本記事執筆時点までの12時間で、ウェブ上には有名人のプライベート写真(中には非常に個人的なものもあった)が大量に流出し、匿名掲示板4chanのユーザーらは、約100件もの有名人の「iCloud」アカウントからの写真を入手したと主張している。その中には、Jennifer Lawrenceさん、Ariana Grandeさん、Victoria Justiceさん、Kate Uptonさん、Kim Kardashianさん、Rihannaさん、Kirsten Dunstさん、Selena Gomezさんのアカウントが含まれていたとされている。

 奇しくもこれらの写真が流出する1日前には、「Apple ID」パスワードを総当たり攻撃する概念実証コードが、コードホスティングサイトGitHubにアップロードされた。

 同コードは、Find My iPhoneのサインインページの脆弱性を利用していた。この脆弱性を利用することで、ハッカーらはロックアウトされることなく、同サイトにパスワード試行を大量に仕掛けることができる。総当たり攻撃の手法を採用することで、ハッカーらはこの脆弱性を利用してアカウントの保護に使用されているパスワードを推測した可能性がある。

 このツールを利用してアカウントを攻撃するには、アカウントのユーザー名を知る必要があるが、電子メールアドレスは使用されれば公開されることになるので、非公開であることはまずあり得ない。

 しかしそうだとしても、これほど多くの有名人のApple IDをどうやってハッカーが収集できたのかは疑問である。

 Appleはこの脆弱性を修正済みで、現在は総当たり攻撃でアカウントにアクセスしようとするとロックアウトされるようになっている。

 2つの出来事の間に関係があるのかどうかは現時点では不明である。しかし、コードの公開とハッキング事件のタイミングは、両者の間に関係があることを確かにうかがわせている。関係があるとすれば、Appleにとってはかなり大きな汚点ということになる。「iPhone 6」の正式発表を目前に控えているとされていることを考えるとなおさらだ。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

  • このエントリーをはてなブックマークに追加