すでにご存知だろうが、ジェニファー・ローレンス、アリアナ・グランデ、ビクトリア・ジャスティス、ケイト・アプトンら100人前後の女性セレブのヌード写真がインターネットにリークした。リーク元はiCloudアカウントらしく、まず4Chanでインターネットに公開され、続いてあらゆる場所に拡散した。iCloudは写真、メール、連絡先その他の情報を自動的にクラウドにバックアップし、同じユーザーが利用するAppleのデバイス間で同期を行う。ジェニファー・ローレンスはリーク写真が本物だと認めた。他の写真の多くも本物らしい。
匿名のハッカーは画像を最初に4Chanに投稿し、iCloudのアカウントから盗んだものだと主張した。ハッカーはPayPalとBitcoinによる寄付を募ったが、集まったのは0.2545 BTCに過ぎなかった。この寄付は次のアドレスから確認できる。 18pgUn3BBBdnQjKG8ZGedFvcoVcsv1knWa
iCloudそのもののセキュリティーが破られたとは考えにくい。しかしインターネット・セキュリティー全般をもう一度チェックする機会として、セレブ写真のハックがどのように行われたか考えてみよう。
マスコミ
メインストリームのメディアは「スマートフォンがハックされた」と報じている。しかしマスコミの使う「ハック」という単語はその内容が非常にあいまいだ。ローレンスは以前、「私のiCloudは『バックアップしろ』って言うんだけど、どうしたらいいか分からない。自分でやってくれればいいのに」と語っていたからiCloudを利用していたことは確かだ。画像のメタデータからするとリーク写真の大部分はAppleのデバイスで撮影されたもののようだ。.
「ハック」の内容
iCloudが ハックされたという記事があるが、Appleからはもちろん確認されていない(この可能性については後述)。iCloud自体のセキュリティーが破られたという可能性は低いが、ハッカーが特定のセレブ・ユーザーを対象にパスワード攻撃、ソーシャルエンジニアリング攻撃、「パスワードを忘れた場合」攻撃、ないしその組み合わせを仕掛けたということは考えられる。
メールアドレスとパスワードの推測
ジェニファー・ローレンスはTimeの記事で「自分のメールアドレスにはキーワードが含まれている」と語った。これは賢明な発言ではない。いずれにせよメールアドレスがわかれば偽のiTunesストアにおびき寄せるようなメールを送ることができる。被害者は偽のページにパスワードを入力してしまう。Guardianはこのようなフィッシング攻撃がリークの原因ではないかと推測している。
標的の生年月日と「秘密の質問」の答えを知っていればAppleシステムの「パスワードを忘れた場合」を使って新しいパスワードを設定できる。セレブの場合、プライベートな情報が大量に出回っているので、「秘密の質問」の答えが推測できてしまう可能性は十分にある。
iCloudのセキュリティー対策
しかしiCloudにアクセスする場合、Appleはいくつかのセキュリティー対策を施している。ユーザーが新しいApppleデバイス(OSXまたはiOS)からiCloudにアクセスした場合、iCloudはユーザーのメールアドレスに新しいデバイスからのログインがあったと通知する。またiCloudアカウントが設定されているすべてのAppleデバイス(iPhone、iPad、Mac)に同じメッセージが送られる。
もしユーザーが新しいデバイスからログインしたことがないなら、その通知を受け取ったユーザーは「ハック」されていることに気づくはずだ。メッセージは新たなログインと同時に送信されるから、すぐに気づいてパスワードを変更すればハッカーが30日分の写真をダウンロードする時間はないかもしれない。
ブルートフォース攻撃
もうひとつパスワードを手に入れる方法はランダムにパスワード入力を繰り返すブルートフォース攻撃と呼ばれるものだ。スクリプトによるiCloudアカウントへのブルートフォース攻撃は理論的には可能だ。
Next Webの記事によれば、最近、悪意あるユーザーがiCloudにブルートフォース攻撃を仕掛けるPythonスクリプトをGithub(その後Hacker Newsにも転載)にアップロードしたという。これはFind my iPhoneサービスの脆弱性を利用したものだったが、Appleはすでにこの脆弱性を修正ずみだという。このスクリプトが今回のリークの原因かどうについてはまったく情報がない。
その他の可能性
上記以外にもリークの原因はさまざまに考えられる。Androidで撮影されたらしい写真もあるのでリーク元はすべてがiCloudではないかもしれない。セレブのWiFiが盗聴されたのではないかという説もある。リークは往々にしてアシスタント、ボディーガードなど身内の人物が手を貸している。デバイスを紛失したり盗まれたりすればアカウントにアクセスされてしまう。。
2ステップ確認を使おう
もっとも効果的なのはiCloudの2ステップ確認(Googleの場合は「2段階認証」)を有効にすることだ。新しいデバイスからログインする際に、ユーザーはパスワードと同時に指定したモバイルデバイスに送信される確認コードを入力しなければならない。つまりハッカーはパスワードを知っても、確認コードを知らなければログインできない。Apple、Googleだけでなく、ほとんどの主要サービスが2段階認証をサポートしている。
またパスワード再発行の際に必要になる「秘密の質問」を「ペットの名前」のような見え透いたものにすることを止める必要がある。qwertyとか123456といった馬鹿げたパスワードを使わないのももちろんだ。
それでもまだ心配なら、設定を開いてiCloudへの写真の自動バックアップをオフにしておくことだ。
これが初めてではない
セレブのプライベート写真がリークしたのはこれが初めてではない。2011年にも大勢のセレブの写真が流出した。犯人のChristopher Chaneyは単なる推測でパスワードを得てメールアカウントに侵入していた。Chaneyは裁判で懲役10年を宣告された。しかしこうした事件でハッカーが逮捕されることはめったにない。ユーザーは結局、自分で身を守るしかない。
[原文へ]
(翻訳:滑川海彦@Facebook Google+)