Oligur

• ニュース

先週、Apple ID のメールアドレスと生年月日を知っている人なら誰でもパスワードをリセットできるという重大なセキュリティホールが単なる偶然だと考えているのなら、The Verge の Tim Carmody によるこの痛烈なレポートを読んで考えが変わるかもしれない。

これは、iCloud データのセキュリティに関しては Apple が極めて怠慢かつずさんであると主張する説得力のある議論です。

この記事はあまりにも長くて詳細なので、ここですべてを要約することはできませんが、主なポイントは次のとおりです。

消費者は、企業顧客がクラウドホールセール業者に期待するのと同じレベルのセキュリティ検証と透明性を、自社のデータに対して求めるべきです。これはAppleだけの問題ではありません。Google Drive、MicrosoftのSkyDrive、Dropboxも同様の問題に直面しています。しかし、これらのクラウドストレージの中で、Appleのクラウドストレージはデフォルトで有効になる可能性が最も高く、かつ最も理解されていないのが現状です。

なぜこれが大問題なのでしょうか？AppleがiCloudデータをどのように保護しているのか誰も知らないため、過去の実績を除けばAppleを信頼する理由はありません。そして、Appleのクラウドとセキュリティに関する過去の実績は芳しくありません。先週のパスワードリセットのSNAFU（大失敗）はあまりにも愚かで明白なため、窓を開けたまま強盗に遭うのと同等です。このような脆弱性が他にどれだけ存在し、発見されるのを待っているのでしょうか？

危険は非常に現実的です。なぜなら、Apple は、デフォルトで顧客一人ひとりの膨大な量の個人情報と財務データをサーバー上に保存している注目度の高いターゲットだからです。

Apple IDのロックが解除されると、メールやiMessageなどのサービス、あるいはユーザーのデバイスのクラウドバックアップを解読することで、データが盗まれる可能性があります。これらのバックアップには、アプリデータ、アプリとシステムの設定（パスワードは含まれません）、写真や動画、テキストメッセージ、ボイスメール、その他のデータが含まれています。

デバイスのバックアップ、ドキュメント、連絡先、メール、メッセージのコピーをクラウドから簡単に取得できますが、ユーザーのプロフィールはそのまま残ります。ユーザーが何かがおかしいことに気付いた時には、古いパスワードが使えなくなっていることに気づいているだけでしょう。犯罪者は、クラウドデータの完全なコピーをいつでも閲覧できるのであれば、ユーザーのデジタルIDに継続的にアクセスする必要はありません。たとえ強力な暗号化であっても、時間が問題ではなくなったら解読されてしまう可能性があります。

The Vergeは、AppleはiCloudのセキュリティについて公に説明責任を負い、Google、Amazon、Microsoftなどのクラウドサービスプロバイダーと同様に第三者による監査を受けるべきだと強く主張しています。Appleにとって、この件はあまりにも重大なので、秘密にしておくべきではないのでしょうか？

あなたはどう思いますか？賛成ですか？コメント欄で教えてください。

出典：The Verge