数百枚もの有名人の写真が大量に流出したとされるiCloudハッキングは、法執行機関がiOSデバイスのバックアップからデータを抜き出すために頼りにしているソフトウェアを攻撃者が使用したことで可能になった可能性が高いとWiredが昨夜報じた。
記事では、ブルートフォース攻撃でユーザーの iCloud ユーザー名とパスワードを取得するのではなく、Elcomsoft Phone Password Breaker (EPPB) と呼ばれる特殊なソフトウェアを使用してユーザーのデバイスを偽装し、写真、ビデオ、アプリケーションデータ、連絡先、テキストメッセージなどのデータを含む完全なデバイスバックアップを取得する方法について説明した Web フォーラムのレポートを紹介しています。
モスクワに拠点を置くエルコムソフトのEPPBは、法執行機関が容疑者のiOSデバイスにアクセスするために一般的に使用されています。フォレンジックコンサルタント兼セキュリティ研究者のジョナサン・ズジアルスキー氏がケイト・アプトンの流出写真のメタデータを分析したところ、今回の有名人の流出はEPPBのようなツールがなければ不可能だった可能性があることがわかりました。
「誰かの[ウェブ]アカウントにログインするだけでは、iCloudバックアップから復元しているスマートフォンをエミュレートするだけでは、同じレベルのアクセスは得られません」とジジアルスキー氏は言う。「この法執行ツールがなければ、今回のような漏洩は起きなかったかもしれません。」
399ドルのツールの開発者らは、iCloudとiOSデバイス間の通信に使うAppleのプロトコルをリバースエンジニアリングしたが、この高度なソフトウェアを購入するのに認証情報は必要なく、ビットトレントサイトで無料で入手できる。
さらに悪いことに、盗まれたヌードの自撮り写真を投稿する匿名画像掲示板として最も人気の高いウェブフォーラム「Anon-IB」のハッカーたちは、ターゲットのApple IDとパスワードを知っている人に代わってヌード写真を引き出すことさえ申し出ている。
EPPB の概要を簡単に説明します。
アップルは自社の広報危機を軽視しようと、昨日メディア向け勧告を発表し、漏洩は「非常に標的を絞った攻撃」によるものだとし、iCloudのセキュリティは侵害されていないと主張した。
ユーザー名、パスワード、セキュリティの質問に対するこの「非常に標的を絞った攻撃」はインターネット上で「あまりにも一般的になっている」とアップルは述べ、調査したケースのいずれも「iCloudやFind my iPhoneを含むアップルのシステムへの侵入によって生じたものではない」と付け加えた。
以下は、コナン・オブライエン氏がこの件について語った NSFW ビデオです。
簡単に言うと、「iPhoneを探す」機能は、パスワードの推測に何度か失敗してもユーザーのApple IDアカウントをロックアウトしませんでした。これは、悪意のあるユーザーにとって格好の攻撃経路となっていました。この脆弱性が公表された直後、Appleはこの脆弱性を修正し、現在では「iPhoneを探す」機能はパスワードの推測に5回失敗するとロックアウトするようになりました。
著名人の情報漏洩の深刻さは、FBIが捜査に関与し、Appleが「関与した犯罪者の特定に協力するため法執行機関と協力」し続けているという事実からも明らかだ。
この攻撃は女性セレブ、特にジェニファー・ローレンスを標的にしていたようです。念のため言っておきますが、被害者が強力なパスワードを使用し、Apple IDで2段階認証を有効にしていれば、このような攻撃は不可能ではないにせよ、困難になっていたはずです。
オンライン セキュリティに興味をお持ちであれば、The New York Times に掲載された Anna North の優れた意見記事「なぜプライバシーを重視するのか」をぜひ読んでみてください。
偶然かどうかはさておき、Appleは昨日、iOS開発向けのApp Storeガイドラインを更新し、サードパーティ製アプリがHealthKit経由で取得したユーザーデータをユーザーの同意なしに共有したり、広告やその他のデータマイニング目的で使用したりすることを許可しないようにした。
[Wired]
