Infostand海外ITトピックス

激震・セレブの写真流出 クラウドセキュリティの教訓

 Appleの「iCloud」からのセレブのプライベート写真流出は、発覚から1週間たっても騒ぎが収まらない。全容はなお不明なことも多いが、クラウドサービスの危険な面を広く一般ユーザーに認知させた事件として歴史に残るのは間違いない。セキュリティを含め、一般ユーザーがクラウドサービスとどう付き合うかべきかを考えさせるきっかけとなった。

セレブのプライベート写真が大量流出

 英語圏ユーザー向け掲示板サイト「4Chan」に8月末、セレブのヌード写真が大量に掲載された。オスカー女優のJennifer LawrenceやモデルのKate Uptonなど、その数100人以上。その後4Chanから画像は削除されたが、RedditやTwitterなどで拡散。この一件を悪用して「セレブの写真がある」というメッセージで偽のリンクを張ったスパムメールを送りつけるなど便乗する者も出た。

 流出した写真が偽物だとツイートするセレブもいるが、はっきりホンモノであることを認める被害者も多く、何者かがセレブのiCloudのアカウントに不正アクセスして写真を入手したことは間違いない。詳細はなお明らかになっていないが、多くのメディアは、IDとパスワードの組み合わせを徹底的に試す“総当たり攻撃”(Brute Force Attack)だと見ている。

 通常はパスワード入力に繰り返し失敗するとシステムがロックされる。だが、The Next Webによると、遠隔からiPhoneを探すiCloudのサービス「Find My iPhone」にある脆弱性を利用して、何度もパスワードを試すことができる状態にして攻撃を行ったようだ。

 利用されたとみられる「iBrute」というPythonスクリプトは、ロシアのセキュリティ診断サービスHackAppがBrute Force脆弱性を指摘するために作成したものだ。少なくとも2日間、GitHubで公開され、9月1日に「お楽しみは終了。Appleがパッチを当てた」とのコメントが上がった。セレブのプライベート写真の流出は8月30、31日がピークであり、時期が一致する。

 併せて利用されていたとみられるのが「Phone Password Breaker」などのElcomSoftの製品だ。iPhoneなどのデバイスなしにiCloudにアクセスできるもので、ElcomSoftは警察向けにマーケティングしているが一般にも手に入る。無事にiCloudのアカウントを乗っ取った後は、大量にある写真を一括ダウンロードするツールなどが利用されたようだ。

 盗みだされた写真の流通についても徐々に分かってきた。Mail OnlineやBusiness Insiderによると、匿名の画像掲示板「AnonIB」で「OriginalGuy」と名乗る人物が、セレブのプライベート写真のリストをほのめかすメッセージを掲示したという。ここではほかにも「iCloudアカウントを乗っ取る際には夜中にパスワードリセットを行うように。パスワードがリセットされたというメールをターゲットが気がつく前に削除できる可能性が高いからだ」といったメッセージもあり、ハッキングのための情報交換の場にもなっていたことをうかがわせる。

(岡田陽子=Infostand)