インターネット企業の皆さん、ご注意ください。今月はハッカーが猛威を振るっています。過去2週間で、AppleのDev Centerがハッキングされ、複数のInstagramアカウントがハッキングされ、人気の音声・メッセージサービスViberが攻撃を受けました。
Viberは、今回の侵害による被害は最小限で、攻撃者は2つのマイナーなサポートシステムにアクセスしただけだと主張している。しかし、App Storeの説明をざっと見てみると、そうではないようだ…
9to5Macは本日夕方、Viberの人気iOSアプリのApp Storeの説明文が明らかに改ざんされていることを指摘しました。攻撃者はこの説明文を「このアプリはあなたをスパイするために作成しました。ぜひダウンロードしてください!」と書き換えていました。
サイトは説明が復元される前にスクリーンショットを取得することができました。
一見すると、これは Apple の Dev Center 攻撃に関連しているように見えるが、そうではないようだ。9to5Mac の Mark Gurman 氏は、ハッカーがフィッシング詐欺を使って Viber の iTunes Connect アカウントにアクセスした可能性があると示唆している。
ハッキングに関する同社の最初の声明は以下の通り。
本日、Viberの従業員がメールフィッシング攻撃の被害に遭い、Viberサポートサイトが改ざんされました。このフィッシング攻撃により、カスタマーサポートパネルとサポート管理システムという2つの重要なシステムへのアクセスが可能になりました。改ざんされたページには、これらのシステムの1つからの情報が掲載されていました。
重要な点として、ユーザーの機密データは漏洩しておらず、Viberのデータベースは「ハッキング」されていないことを強調しておきます。機密性の高い個人情報は、この種の攻撃ではアクセスできない安全なシステムに保管されており、当社のサポートシステムには含まれていません。
しかし、ここで問題なのは、Viberがこの攻撃について十分な透明性を示さなかったことです。確かに、彼らはユーザーの機密データが漏洩したことはないと主張しています。しかし、ハッキングは2つの小規模なシステムに限定されていたとも述べていますが、明らかにそうではありませんでした。
長年のユーザーとして、同社にはもう少し説明が必要だと考えます。
Viberは7月23日火曜日、シリア電子軍によって最初のハッキングを受けました。シリア電子軍は、世界中に2億人のユーザーを抱えるイスラエルに拠点を置くViberがユーザーを「スパイし、追跡している」と主張し、利用を避けるよう呼びかけています。
更新:Viberの広報担当者がiDBに連絡し、次のような声明を発表しました。
数日前、 「ハッカー」がフィッシング攻撃を通じてViber.comのメールアカウント数件にアクセスしました。この問題はその後修正されました。
彼らが回収したデータにより、サポートサイトを改ざんし、iTunes Connectアカウント(App Store)にもアクセスできるようになりました。このアクセスによって、アプリの説明文を改変することが可能になりました。これは数日前、最初の改ざんとほぼ同時刻に行われました。私たちは数分以内にこれに気づき、メタデータを修正し、該当ユーザー(実際には1人を除く全ユーザー)をiTunes Connectアカウントから削除しました。
残念ながら、土曜日に再び同じ問題が発生しました。さらに調査を進めた結果、これはiTunes Connectのセキュリティ問題であることが判明しました。ユーザーを削除しても、ログイン中のユーザーはログイン状態のままになるようです。現在、このユーザーをiTunes Connectから永久に切断する方法がないため、Appleがこの問題を早期に修正することを願っています。この問題についてはAppleに問い合わせており、現在返答を待っています。
現時点では、これがViberアプリ、Viberシステム、データベース、ユーザー情報などのセキュリティに影響を与えるものではないことをユーザーに保証したいと思います。これは単に残念な迷惑なだけです。」
