ここ数日、複数の著名なiOS開発者や脱獄開発者が、iMessageを標的としたDoS(サービス拒否)攻撃を受けたと報告しています。この攻撃は、一連のスパムメッセージによってiMessageアプリがクラッシュするものです。
影響を受けた開発者のリストには、Sn0wBreezeの開発者iH8sn0w氏、Zephyrの開発者Chpwn氏などが含まれています。また、犯人はプロビジョニングされたUDIDやSiriプロキシサーバーなどの販売に関与しているTwitterアカウントにまで追跡されています…
The Next Web の Matthew Panzarino 氏は次のように説明しています。
「これらのメッセージは、おそらく単純なAppleScriptを使用してOS Xのメッセージアプリ経由で送信され、iOSまたはMacのメッセージアプリをテキストで急速に満たし、ユーザーは通知とメッセージの両方を頻繁に消去する必要に迫られます。
場合によっては、メッセージが非常に大きくなり、iOSのメッセージアプリが完全にフリーズしてしまうことがあります。これは、今回のケースはいたずらのように見えますが、一種の「サービス拒否」(DoS)攻撃に相当します。当然のことながら、メッセージが迷惑なほど大量に繰り返し送信されても、実際にアプリをクラッシュさせない場合でも、サービスの利用は制限されます。しかし、アプリをクラッシュさせるほど複雑な文字列が送信されると、より深刻な問題となります。
どうやら、このいたずら者は、Unicode やその他のレンダリングが難しい文字が満載の何百もの iMessage を 1 人のユーザーに瞬時に送信し、iMessage がテキストの読み込みに苦労してアプリをクラッシュさせる AppleScript を作成したようです。場合によっては、アプリが永久にクラッシュすることもあります。
iH8sn0w氏によると、水曜日の夜にメッセージを送り始めた攻撃者は、ハッカーグループ「Anonymous」の一員だと主張していたが、迅速な調査でその偽りの主張は覆されたという。脱獄開発者のRyan Petrich氏も独自に調査を行い、次のような事実を発見した。
@panzer @chpwn 元々のスパムは匿名メールサービスに切り替える前は [email protected] から来ていました
— ライアン・ペトリッヒ (@rpetrich) 2013 年 3 月 30 日
ここでより大きな問題は、AppleがiMessageサービスにおけるスパム行為などの監視を明らかに行っていないことです。そのため、将来の攻撃に対して無防備な状態となっています。そして現時点では、この問題に対する唯一の解決策は、影響を受けているiMessageアカウントを無効にすることです。
パンザリーノ氏は、この問題についてAppleに問い合わせたが、まだ返答がないという。少なくとも、ユーザーをブロックする機能やホワイトリスト機能などが追加され、問題が深刻化しないようになればと期待しているという。
Appleは2011年、iOS 5と同時にiPhone、iPad、iPod touch向けにiMessagesをリリースしました。そして2012年にはMac OSXにも展開しました。ティム・クックCEOは今年初め、投資家に対し、現在では1日あたり20億件以上のメッセージの送受信が可能になっていると述べました。
画像クレジット: Adam Bell
