特定のユーザーデータの提供に関しては、Appleは法執行機関や政府機関からの正式な法的要請に依存しています。しかし、偽造された要請に騙され、結果としてユーザーデータを悪意のある人物に提供していた可能性があることが判明しました。
ブルームバーグの新たな報道 によると、AppleとMeta(旧Facebook)の両社が、偽造された法的要請を利用してユーザーデータを入手したハッカーにデータを提供していたことが明らかになった。この報道は、匿名の情報源3人からブルームバーグに提供された情報に基づいている。ハッカーたちは自らを法執行機関の職員として尾行し、最終的にAppleの必要な従業員を説得して、彼らが求めていたデータを入手した。
これにはIPアドレス、電話番号、さらには顧客の住所も含まれます。彼らは「緊急データリクエスト」と呼ばれるものを送信した後、最終的にAppleからこれらの情報を取得することに成功しました。報告書によると、ハッカーグループは様々な国の法執行機関に属する、バイパスされたメールドメインを確保できたとのことです。
ほとんどの場合、これらの情報を入手するには召喚状や捜索令状、あるいはその両方が必要です。しかし、「緊急データ要求」は、差し迫った危険がある場合にのみ利用されることを意図しているため、異なる解釈がされています。そのため、Appleは要求者の確認手続きを経た上で、召喚状や捜索令状を必要とせずに要求された情報を提供することができます。
この件に関するAppleのコメントは必ずしも役に立つものではない。
コメントの要請に対し、アップルの代表者はブルームバーグ・ニュースに対し、同社の法執行ガイドラインのあるセクションを参照するよう指示した。
Appleが参照しているガイドラインでは、リクエストを提出した政府または法執行機関の監督者に「連絡を取り、緊急リクエストが正当であったことをAppleに確認するよう求められる場合がある」と述べられている。
一方、Metaは、ハッカーグループが不正なリクエストを利用してユーザーデータの一部を入手できたことを基本的に確認した。また、同社は正当な法執行機関と協力して事態の収拾に取り組んでいることも明らかにした。
もしまだそうしていないのであれば、Apple も同じことをするだろうと予想される。
