ニュースリリース

有名人でなくても危険 「iCloud」ハッキングに遭わないために今できること
記事提供:TechTargetジャパン

 2014年8月末に有名人の個人的な写真が米Appleの「iCloud」から流出した事件は現在もマスコミをにぎわせているが、その一方でセキュリティ業界は、今回の事件の中心となったiCloudサービスの脆弱性、ならびに同様の欠陥が存在する可能性に注目している。「iCloudに対するハッキングは、企業のデータも危険にさらされている可能性があることを浮き彫りにした。特に、機密を要するデータがクラウドに保存されていることを知らない企業が問題だ」と専門家らは指摘する。

 8月31日夜(米国時間、以下同)に報じられた今回の事件では、ジェニファー・ローレンスさんやケイト・アプトンさんなどの人気女優のプライベート写真がネット上に流出した。オンラインフォーラムでは、この事件は「The Fappening」(訳注:「Happening」と性的意味を持つ俗語「Fap」を組み合わせた造語)と呼ばれている。

記事

「脆弱性に起因するものではない」

Appleは9月2日、事件の調査に関する発表を行い、その中で「iCloudへのハッキングは、iCloudの脆弱性が直接的な原因ではなく、システムの認証メカニズムに対する標的型攻撃によって引き起こされたものだ」と述べている。

「40時間余りにわたる調査の結果、ユーザー名、パスワード、セキュリティに関する質問に対する高度な標的型攻撃によって、一部の有名人のアカウントへの不正侵入が行われた。こうした攻撃はインターネット上では極めて一般的になっている。当社が調べたケースの中には、iCloudやFind My iPhone(iPhoneを探す)などのAppleのシステムの脆弱性に起因するものではない」(Appleの発表文)

とはいえ、同社は「Find My iPhone」アプリの脆弱性を修正した。Find My iPhoneはiCloudサービスの一部で、セキュリティ専門家らは、少なくとも今回の画像流出の原因の一端になったと考えている。同アプリの修正以前は、ユーザーがパスワード入力を何回試みても、入力がロックされることはなかった。この欠陥のせいで、Find My iPhoneアプリがブルートフォース(総当たり)攻撃にさらされる結果となった。事件が報じられてから24時間以内に、同アプリのパスワード入力が5回に制限された。

今回の攻撃の何日か前に、Find My iPhoneアプリへのブルートフォース攻撃に利用できるツール「iBrute」がリリースされた。提供したのは、モバイルアプリケーション用の自動セキュリティ監査ツール「HackApp」を開発したチームだ。HackAppサイトに掲載された発表文の中で同グループは、2014年8月にモスクワで開催されたセキュリティカンファレンス「DefCon」において、iBruteおよび関連する脆弱性に関するプレゼンテーションを行ったことを謝罪し、彼らのツールとテクニックがiCloudのハッキングに利用された可能性を示唆した。

「数日前に@hackappcomと@abelenkoがローカル(@DefconRussia)グループミーティング(@chaos_constructイベント)で行った発表が、このような重大な結果を招いたことを大変申し訳なく思っている。ブラックハットコミュニティー(訳注:悪質なハッカー集団)は安易で不快なフィードバックをよこしてきた」とHackAppチームの発表文は述べている。「この事件に巻き込まれた全ての人々に言いたいのは、私たちは今、『すばらしい新グローバル世界』に生きているということだ。この世界ではプライバシーの保護がかつてなくないがしろにされ、『スマート』デバイスの全てのデータがインターネットからアクセスできる可能性があると覚悟しなければならない。これは無政府状態の世界であり、迷惑な活動の温床になる恐れがある」

米連邦捜査局(FBI)は9月1日、「当局は有名人の画像流出に関する報道を認知しており、この件に対処する方針だ」という声明を発表した。FBIは以前にも、有名人の画像流出事件を捜査したことがあり、いずれの事件も有罪判決につながっている。

iCloudのハッキングは企業への警鐘

AppleとFBIはそれぞれ独自に調査を進めているが、セキュリティ専門家たちは「iCloudだけでなく『Dropbox』や『Box』などのクラウドストレージサービスにも重要な企業データが大量に保存されており、これらのサービスが攻撃を受けると、今回の事件よりもはるかに甚大な被害が出る恐れがあることを認識すべきだ」と企業に警鐘を鳴らしている。

米モバイルセキュリティ企業のviaForensicsでシニアセキュリティエンジニアを務めるアンドリー・ベレンコ氏によると、ユーザーの設定次第で、iCloudには写真や動画、テキストメッセージ、アプリケーションのデータなどあらゆるものを保存できるという。「予定表のデータやメモ、連絡先、その他のさまざまなデータもiCloudにバックアップできる」

米クラウドセキュリティ企業のAdallomのマーケティング担当副社長、タル・クライン氏は「iCloudキーチェーンでは、複数のApple製デバイス間でログイン認証情報が保存・同期化される。デフォルトではこの情報はiCloudに保存され、パスワードおよび4桁のPIN(個人識別番号)またはパスコードで保護される。このデータをローカルにバックアップするように設定することも可能だ」と指摘する。

viaForensicsのベレンコ氏によると、幸いにも、Appleのドキュメントにはどのデータがどこに保存されているかが明記されているため、企業のセキュリティチームはiCloud環境にどんな情報資産が保存されているかを把握し、必要に応じて対策を講じることができるという。AppleのWebサイトでも、iCloudに保存された情報がどのように保護されているか、またFind My iPhoneなどのサービスを利用する上での注意点、「My Photo Stream」(フォトストリーム)に保存した写真を削除する方法などが説明されている。

もちろん、企業がこうした事前予防的な対策を講じるためには、セキュリティプログラムを確実に実施する必要がある。情報セキュリティ教育の専門機関、米SANS Instituteのインストラクターであり、米コンサルティング企業NetIPの社長を務めるキース・パームグレン氏によると、セキュリティ担当重役をまだ置いていない大企業では、ユーザーのクラウドバックアップのセキュリティを確保するためのプランを用意していない可能性が高いという。

「こういった企業は、どんなデータがクラウドに送られているのかを全く把握していない」とパームグレン氏は話す。

iCloudに送信されたデータを保護するには

iCloudなどの一般消費者向けのクラウドストレージサービスが企業のデータに潜在的リスクをもたらすとすれば、クラウドに送信されたデータを保護するには企業はどうすればいいのだろうか。

米クラウドセキュリティ企業のZscalerでセキュリティ調査を担当するマイケル・サットン副社長は「企業のセキュリティチームは、一般消費者向けのITサービスが現実に利用されており、こうしたサービスによるコスト削減と生産性の向上というメリットを考えれば利用禁止にするのは不可能に近いという事実を受け入れなければならない」と話す。

「この現実を念頭に置いた上で、セキュリティ担当者は業務部門と協力して、クラウドサービスの利用に際してのセキュリティをいち早く確立する必要がある。同時に非公開データがクラウドストレージサービスにアップロードされるのを防ぐためのトラフィック監視技術を配備する必要がある」とサットン氏はアドバイスする。

NetIPのパームグレン氏によると、企業はクラウドストレージサービスだけでなく、ネットバンキングなどの重要なオンラインサービスでも多要素認証方式を利用するメリットについて従業員教育をすべきだという。

 

記事提供:TechTargetジャパン