激震・セレブの写真流出　クラウドセキュリティの教訓

「バグ報酬プログラムがあればAppleに報告した」

　Appleはこの事件を受けて、「セキュリティの問題を真剣に受け止めている」という声明を主要メディアに出した。その後、一部のセレブのアカウントの不正にアクセスを確認したと認めた。一方で、攻撃はターゲットを絞ったものであり、「iCloudやFind My iPhoneなどAppleのシステムの侵害が原因ではない」と弁明している。

　しかし、セキュリティ専門家からは厳しい指摘が出ている。F-Secureの最高リサーチ責任者Mikko Hypponen氏はBBCに対し、Appleの「2ステップ確認」（2ファクタ認証）の欠点を指摘している。2ファクタ認証とは、スマートフォンなどデバイスを登録し、そのデバイスが受け取ったコードを利用してログインを行うというもので、通常のIDとパスワードの組み合わせよりも強固な認証になるといわれている。

　しかし、Hypponen氏によると、Appleの2ステップ確認はiCloudに保存されている写真などのデータへのアクセスには適用されておらず、「クレジットカードの保護のみを目的として実装されている」という。「多くのユーザーにとって、クレジットカード情報より私的な写真を盗まれることの方が大事件なのではないか」とHypponen氏は意識のずれを指摘している。

　Appleの2ステップ確認の脆弱さについては、英サリー大学のコンピュータセキュリティ専門家も「ドアは二重の鍵をかけているが、窓は開いている」「根本的なセキュリティ欠陥につながっている」と厳しく指摘する。また、Kaspersky Labのシニアアナリスト、David Emm氏は「2ステップ確認は保護の傘となっていないのに、そう思わせるのは危険だ」とBBCにコメントしている。

　Forbesは、バグに対するAppleの姿勢を分析する。バグの報告に対して報酬を支払う「Bug Bounty Program」というプログラムは、Googleを皮切りに、Microsoft、Facebook、Twitterなど大手企業の多くが採用しているが、Appleは利用していない。iBruteを作成したHackAppのAlexey Troshichev氏は「もしバグ報酬プログラムがあれば、GitHubに投稿せずに、Appleに報告しただろう」と述べているという。「バグ報酬プログラムがあれば、Appleは今回のような苦痛を経験せずに済んだはずだ」とForbesは総括している。