Oligur

• ニュース

インターネット上に流出した有名人のヌード写真の洪水の責任は、写真を盗み出した変態ハッカーから、Apple、iBruteの製作者へと移り変わっているが、FBIとAppleが流出元を捜査し続ける一方で、一つだけ言及されていないツールがある。それは、この流出を可能にした警察の科学捜査ツールだ。

iCloud ヌード写真流出の背後にある重要な要素の 1 つは、Elcomsoft が作成したソフトウェアです。これにより、攻撃者はターゲットの iPhone になりすまして iCloud バックアップ全体をダウンロードできますが、このソフトウェアを入手するには警察官である必要さえありません。

Wiredは、リーク元を詳しく調査した結果、Elcomsoft Phone Password Breaker（EPPB）が、流出したヌード写真の出所とされる4chanの派生サイトAnonIBリッパーの間で好まれるツールになっていると報じています。AnonIBリッパーはiPhone写真を盗むプロセスを科学的に洗練させています。ロシアに拠点を置くフォレンジック企業Elcomsoftは、政府認証の証明なしにこのソフトウェアを1399ドルで販売していますが、海賊版は無料で簡単にトレントで入手できます。

攻撃者がユーザーのAppleIDとパスワードを入手すれば、EPPBは「デバイス所有者の同意や承認なしに」バックアップデータ全体にアクセスできると、同社のウェブサイトは豪語している。 セキュリティ専門家は、アレクセイ・トロシチェフ氏のiBruteソフトウェアツールが漏洩の原因だと指摘し、このツールは攻撃者に被害者のiCloud.comアカウントへのアクセスを可能にしたと指摘している。しかし、Elcomsoftのツールを使えば、攻撃者はiPhoneのバックアップ全体を1つのフォルダとしてダウンロードできるため、ジェニファー・ローレンスのセクシーな部分だけでなく、はるかに多くのデータ（テキスト、動画、連絡先、アプリデータなど）を盗み出すことができる。

この攻撃では女性セレブが注目を浴びており、Appleはすでに「非常に標的を絞った攻撃」による「iCloudやFind my iPhoneを含むAppleのシステムへの侵入」を否定しているが、Valleywagのサム・ビドル氏が説明しているように、ケイト・アプトンであろうと無名の人であろうと、すべてのiCloudユーザーが攻撃に対して脆弱である。

「有名人だけが標的になっているなんて考えはナンセンスだ。今まさに、一般人のiCloudアカウントを盗み取っている輩がいる…これは絶対に「標的型攻撃」などではない。Appleの貧弱なセキュリティシステムを悪用した、気軽な無差別攻撃だ。しかも、これは巨大なインターネット上のたった一つのウェブサイトに過ぎない。」

ビドル氏は、有名でもない女の子から盗んだ写真を共有するAnonIBの「iCloudリッパー」グループを例に挙げている。Apple IDとパスワードさえ知っていれば、誰でも標的になる可能性がある。そして、ハッカー志望者が遭遇するあらゆる問題を手助けするベテランのリッパーも数多くいる。

iPhone 6の発表まであとわずか7日。AppleはiCloudのパスワード漏洩騒動を一刻も早く鎮めたいと考えているのは間違いありません。現時点では、iCloudがパスワード復旧によって簡単に推測されてしまう脆弱性を持っていることをAppleは認めていませんが、当面はApple IDの2段階認証を有効にすることをお勧めします。