ずさんなセキュリティがAppleの極秘製品計画を暴露した経緯
Mac

ずさんなセキュリティがAppleの極秘製品計画を暴露した経緯

  • Oligur
  • 0
  • vyzf
ずさんなセキュリティがAppleの極秘製品計画を暴露した経緯
  • ニュース
クアンタ・コンピュータのデータベースへのこのログイン画面は、Appleの次期製品に関する詳細情報を含む機密文書にリンクしていた。写真:ジム・メリシュー/Cult of Mac
クアンタ・コンピュータのデータベースへのこのログイン画面は、Appleの次期製品に関する詳細情報を含む機密文書にリンクしていた。写真:ジム・メリシュー/Cult of Mac

Appleの主要サプライヤーの1社における信じられないほどずさんなセキュリティのせいで、クパチーノで最も厳重に守られていた秘密の一部が、簡単なGoogle検索を実行できる人なら誰でも閲覧できる状態になった。

数か月間、ウェブ上で簡単に見つかる PowerPoint プレゼンテーションで公開されたユーザー名とデフォルトのパスワードを使用して、Quanta Computer の内部データベースの 1 つにアクセスできました。

台湾に拠点を置くQuantaは、世界最大のノートパソコンメーカーです。Appleに加え、Dell、Hewlett-Packard、Sharp、Sonyなど、数十社のノートパソコンやウルトラブックを製造しています。また、近日発売予定のApple Watchと長らく噂されていたiPad Proも製造しているとされていますが、公式発表はまだありません。

このセキュリティ上の不備は、クレジットカード情報の不正利用や有名人のヌード自撮り写真の流出、ソニーの機密性の高い企業データの盗難など、ハッキング事件やサイバー攻撃が急増している時期に発生しました。Appleのような秘密主義の企業の機密計画が、セキュリティ上の一連のミスによって暴露されてしまうという事実は、デジタル時代における情報保護の難しさを如実に物語っています。

クアンタのデータベースへの道は、昨年9月にApple Watchの大規模な発表イベントの前夜に、匿名のRedditユーザーが極秘デバイスの図面と詳細を投稿したときに始まった。

画像には、2種類のサイズのがっしりとした四角い筐体が写っていました。この時点では決定的なリークはなく、Appleコミュニティは懐疑的でした。Appleのデバイスとは思えないからです。しかし、リークは真実であることが判明し、翌日Appleが発表する多くの詳細を予測していました。

クアンタの内部データベースの一つにアクセスでき、その詳細はGoogle検索で簡単に見つけられる。スクリーンショット:Cult of Mac
クアンタ・コンピュータの内部データベースの一つには、アップルの製品パイプラインに関する詳細な情報が保存されており、Google検索をうまく使えばアクセスできる。スクリーンショット:Cult of Mac

この情報は、クアンタの社内用PowerPointプレゼンテーションの写真から得られたものです。オンラインで出回っているのは、この文書だけではありません。クアンタの機密文書は他にもいくつかオンラインで公開されており、少なくとも1つには、クアンタの社内データベースの詳細とログイン情報が記載されています。このデータベースには、今後発売される他のApple製品を示すと思われる詳細な回路図が含まれています。詳細はGoogle検索で簡単に見つけることができます。

「Quanta 機密」というフレーズと「.ppt」(PowerPointファイルの拡張子)を検索すると、「Quanta PDM system for Restricted Substances Investigation(制限物質調査のためのQuanta PDMシステム)」というタイトルのプレゼンテーションがいくつか表示されます。Cult of Macがまだ調査していない他のプレゼンテーションもいくつか表示されます。このドキュメントは複数の場所にミラーリングされているか、あるいはミラーリングされていたようです。

この文書は2013年1月15日付で、製品および部品の環境側面を管理するためのQuantaデータベースについて説明しています。PowerPointプレゼンテーションは、Quantaの顧客にログイン方法とシステムの使用方法を示すために作成されたものと思われます。

驚くべきことに、このファイルにはデータベースへのリンクと、Apple の中国における主要製造パートナーである Foxconn を含む少なくとも 2 人の顧客のユーザー名とデフォルトのパスワードの詳細が含まれています。

ユーザー名にデフォルトのアカウント番号を入力してください:サプライヤーコード+3桁の数字。Web
ページの「agile」のデフォルトのパスワードは、ログイン後に変更してください。
サプライヤーコード+3桁の数字コード
(例)FOX111

Cult of Mac が身元を明かさないことを約束した情報源は、文書に記載されているユーザー名とデフォルトのパスワードのいずれかを使用して誰でもシステムにログインできる方法を私たちに実演した。

Quanta はすべての顧客に対して同じ単純なデフォルト パスワードを設定していたようですが、一部の顧客は初回ログイン後にデフォルトを変更していなかったようです。

Cult of MacはAppleとQuantaにセキュリティ問題について報告しました。Appleはコメントを拒否し、Quantaも私たちの問い合わせに回答していませんが、Quantaは現在、問題のPowerPoint文書内のアカウントを無効化し、デフォルトのパスワードを変更したようです。

インターネットセキュリティ企業IIDの脅威情報担当副社長、ポール・ファーガソン氏は、一般的に同じデフォルトパスワードの使用は「非常に愚かな行為」だと語った。

「規模の大小を問わず、すべての組織は、優れたセキュリティ対策を見直し、積極的に活用し始めるべきだ」と彼は述べた。