AppleのiCloud経由で流出したと思われる米国セレブらのプライベート写真が多数4chanに掲載された問題、いわゆる「iCloud Hack」事件に関し、Appleは現在「積極的に調査中」とだけコメントし、詳細は明らかにされていません(Bloomberg)。
しかし、米国のテックメディアThe Next Webは、この問題の原因がAppleが提供する「Find My iPhone」(iPhoneを探す)機能の脆弱性にあったのではないかと指摘しています。
ブルートフォースアタックツール
調査では、「Find My iPhone」サービスに、ブルートフォースアタック(総当りによるパスワード解析)に対する防御が行われていないことが発覚しており、これを攻撃するツールが使用された可能性があるとのこと(現在この脆弱性は修正済み)。
ツールは、GitHubに公開されたibruteと呼ばれるPython製のプログラムだろうと見られていて、このプログラムの説明でもFind My iPhoneに対するブルートフォースアタックツールであることが説明されています。
ハッキングの流れ
ハッキングの流れは、最初はおそらく推測しやすいユーザーID(メールアドレス)に対しツールを用いてブルートフォースアタックを実行。解析が成功した後は連絡先からより確実なセレブのユーザーIDを入手し、そのIDに対してハッキングを繰り返すことが行われたと推測されています(9To5Mac)。
まとめ
iCloud Hackの本当の原因はAppleの調査が終わるまで分からないと思います。しかしブルートフォースアタックが本当ならば、パスワードを変更したり、2段階認証を有効にすることで少しは安心感を得られるかも。原因の解明がまたれますね。
