シドニー・モーニング・ヘラルド紙によると、ロシア当局はiCloud経由でiOSデバイスを乗っ取り、身代金を要求したとして、2人の若いハッカーを拘束した。容疑者はいずれもモスクワ南部行政区在住で、イヴァンという名の23歳の少年と、彼の共犯者だった名前不明の17歳の少年である。
ロシア内務省は月曜日、ハッカーらがロシア内務省による「作戦活動」の過程で拘束されたと発表した。ハッカーらはATMから身代金を引き出そうとする様子が字幕付きテレビに映っていた。また、内務省は容疑者の1人が既に裁判にかけられていると指摘した。
ロシアのメディアMKRUによると、23歳のイヴァンは「コンピューターとハッキングに狂ったほどの熱中ぶり」だという。「この若者は勉強も仕事もしたことがなく、常に簡単に金を稼ぐ方法を探していた」と同紙は報じている。共犯者については、イヴァンより6歳年下であるという事実以外、ほとんど何も分かっていない。
ロシア当局はハッカーたちのアパートを捜索した後、PC、SIMカード、携帯電話、そしてハッキングに関する文献を押収した。報道によると、両ハッカーは自白したとのことだが、オーストラリアでの身代金要求攻撃、あるいは数日後にロシア人ユーザーが被害に遭った同様のハッキング事件の犯人かどうかは依然として完全には明らかになっていない。
数週間前、オーストラリアの一部のiPhoneおよびiPadユーザーがAppleサポートコミュニティに、謎のメッセージが表示されデバイスにアクセスできなくなったと報告しました。ハッカーはiCloud経由でデバイスをリモートロックし、制御権を放棄する代わりに50ドルから100ドルの支払いを要求していました。ハッカーは偽名「Oleg Pliss」を使い、支払いのためにメールアドレスを提供していました。
Appleはすぐに、このハッキングはiCloudの侵害によるものではないことを確認した。
Appleはセキュリティを非常に重視しており、今回のインシデントでiCloudへの不正アクセスは発生していません。影響を受けたユーザーは、Apple IDのパスワードをできるだけ早く変更し、複数のサービスで同じユーザー名とパスワードを使い回さないようにしてください。さらにサポートが必要なユーザーは、AppleCareにお問い合わせいただくか、お近くのApple Storeにご来店ください。
当初は、Heartbleedバグなど、最近のウェブ上のセキュリティ脆弱性がハッカーによるハッキングを可能にしたと考えられていました。しかし実際には、ロシア内務省は、この2人がフィッシングサイト、不正なメールアクセス、ソーシャルエンジニアリングの手法を通じてApple IDアカウントにアクセスできたことを確認しました。
このハッキングには、事前に準備された iCloud アカウントも関係していました。
「この事前設定されたアカウントはハッカーが所有し、その後ユーザーに『リース』、つまり販売して、そこで多数の映画や音楽を提供していました。しかし、コンテンツにアクセスするには、ユーザーはデバイスをアカウントにリンクする必要があり、ログイン情報を知っているハッカーに乗っ取られる危険性がありました。」
最近のハッキング事件は、オンラインセキュリティの維持の重要性を改めて浮き彫りにしています。パスワードを定期的に変更し、アカウントで二段階認証を有効にすることを強くお勧めします。さらに一歩踏み込みたい場合は、1Passwordのようなパスワードマネージャーを検討し、あらゆるサービスで一意のパスワードを生成・保存するとよいでしょう。
