マザーボードが火曜日に報じたところによると、「トルコ犯罪ファミリー」というコードネームで知られるハッカーらが、未知の手段で、@icloud や @me ドメインのメールアドレスを持つ iCloud の受信トレイを含む、数億もの Apple メールアカウントへのアクセスを入手した疑いがある。
Appleが法外な身代金を支払わない限り、iOSデバイスをリモートで消去すると脅迫している。iCloudが直接ハッキングされたことは一度もないことは注目に値するが、他にもこの話が信じ難い理由がある。
彼らは、Apple に対し、4 月 7 日までに以下の形式で身代金を支払うよう要求しています。
- 75,000 ドル相当の暗号通貨ビットコインまたはイーサリアム
- または iTunes ギフトカード 10 万ドル相当。
クパチーノの企業が要求に従わない場合は、同団体はアカウントをリセットし、関連するAppleデバイス上のすべてのデータを事実上消去するつもりだと述べている。
メディアを通して圧力をかけ、アップルから金銭の支払いを強要しようとしたハッカーの一人は、「私はただ金が欲しいだけだ。これは多くのアップルの顧客が興味を持って読んだり聞いたりする興味深い記事になると思った」と語った。
このグループは当初、高齢女性のiCloudアカウントへのハッキングを証明するとされるYouTube動画を共有しました。動画では、デバイスの情報をリモートで消去する能力も披露されていましたが、これは基盤となるApple IDにアクセスできれば簡単に実行できます。
YouTubeでiDownloadBlogを購読する
その後、Appleのセキュリティチームのメンバーが身代金の支払いを拒否し、動画をオフラインにするよう要請したことで、動画は削除されました。Appleのセキュリティチームの匿名メンバーが1週間前にハッカーに返信したと思われる内容は次のとおりです。
まず、YouTube チャンネルにアップロードした動画は不要な注目を集めるものですので、削除していただきますようお願いいたします。
第二に、私たちはサイバー犯罪者が法律を破っても報酬を与えないということをご理解いただきたいと思います。
アップルのチームメンバーとされる人物は、彼らとの通信記録を当局に送付すると警告した。クパチーノに拠点を置く同社は、本稿執筆時点ではこの件について公式にコメントしていないが、これは同社の常套手段である。
これは私個人の意見ですが、笑える話です。
まず、矛盾点があります。
ハッカーたちは当初、身代金目的で3億アカウントを拘束したと発表していましたが、後にその数は5億5900万アカウントに変更されました。重要なのは、ハッカーたちが主張を裏付けるために、盗まれたとされるiCloudアカウントのデータキャッシュをMotherboardに提供しなかったことです。
彼らが提供した唯一の証拠は、同グループとアップルのセキュリティチームのメンバーとの間で交わされたとされる電子メールのスクリーンショットとされるもの(ちなみに、画像は簡単に偽造できる)だった。
「Motherboardはこのメッセージのスクリーンショットしか見ておらず、オリジナルは見ていない」と記事には記されている。ちなみに、このグループは証拠として、Appleとのやり取りに使用されていたとされるメールアカウントへの一時的なアクセス権をMotherboardに付与した。
同じメールアカウントが、現在削除されている YouTube 動画にも登場していた。
3 億の iCloud アカウントにアクセスできる場合、75,000 ドルだけを要求しますか?
申し立てられたアカウントの中には、Appleの2段階認証機能が有効になっているものもあると推測できます。問題は、Appleの2段階認証サーバーが直接大規模にハッキングされたことがないことです。iCloudアカウントから有名人の危険な写真が流出した?あれはまさに巧妙なソーシャルエンジニアリングでした。
つまり、あなたは私を真顔で見て、ソーシャル エンジニアリングだけで、未知のユーザーの何億もの iCloud アカウントに侵入したと言うのです。
iTunesギフトカードの要求という滑稽な要求も、ここで注目すべき点です。こんな深刻な脅しをかけながら、少額の金銭を要求するだけで、AppleにiCloudシステムの脆弱性を修正する十分な時間を与えるようなことは、あり得ません。
もし私が「トルコ犯罪一家」だったら、まず1000万件のアカウントをオフラインにしてAppleに真剣に受け止めてもらい、それから7万5000ドルではなく7桁の金額を脅し取ろうとするだろう。一方、彼らが少額を要求したのは、Appleが迅速かつ静かに支払うことを期待していたからかもしれない。
チュートリアル: 2ファクタ認証でApple IDを保護する方法
Sebがコメントしたように、数百万ドルを要求し始めると、Appleがより深く調査し、FBIに通報する可能性もあるというリスクがあります(2010年にiPhone 4のプロトタイプが盗まれた際にAppleが強硬な対応を取ったのがその好例です)。Motherboardがなぜこれを報道価値があり信頼できると判断して掲載したのかは分かりませんが、私はこの話は全く信じません。
あなたはどう思いますか?そして、万が一に備えてAppleは屈服して支払うべきでしょうか?
出典: マザーボード
