Oligur

• ニュース

CC ライセンスの写真は Ben Stanfield 氏によるものです。

ハッカーはスティーブ・ジョブズの Amazon.com の個人アカウントに侵入したと主張している。

ハッカーは、ジョブズ氏の数年間の購入履歴やクレジットカード番号など、ジョブズ氏のAmazon.comアカウントの詳細をジャーナリストに売ろうとしている。

「orin0co」と名乗るハッカーによると、ジョブズは熱心なオンラインショッピングユーザーだという。過去10年間でAmazon.comから2万点もの商品を購入したという。これは年間2,000点、つまり毎日5点以上を購入した計算になる。

「この情報は私が入手しました」と、ハッカーはHushmailのセキュアアカウントから送信したメールに記していた。「他に誰も持っていません。不正使用はしていません。そうでなければ、ジョブズ氏はとっくにログイン情報を変更しているはずですから」

ハッカーは、この詐欺はアップルにとって恥ずべきことだと述べた。同社は、Macは「ウイルス、クラッシュ、頭痛」の影響を受けにくいと主張している。（アップルの新しい「Elimination」広告を参照）。

「偉大なスティーブ・ジョブズを騙せるなら、Mac がどれほど安全か想像してみてください」と orin0co さんは書いています。

もしこれが事実なら、ジョブズ氏はいわゆる「ホエーリング」または「スピアフィッシング」攻撃の最新の被害者となる。これらは、著名なCEOや著名人など資産価値の高い被害者を巧妙に狙ったオンライン詐欺だ。

昨年6月にホエールフィッシングを公表したセキュリティ企業iDefenseの迅速対応チームのディレクター、ライアン・オルソン氏は、ジョブズ氏が標的型攻撃の犠牲になった可能性があると述べた。

「ああ、あり得ると思うよ」と彼は言った。「彼は有名人だから、彼に関する情報を多く入手するのは難しくないだろう」

アップルは、orin0coの主張の確認や否定、コメント要請には応じなかった。Amazon.comは、ジョブズ氏のアカウントが不正アクセスされたかどうかは把握していないと述べた。

「スティーブ・ジョブズのAmazonアカウントがフィッシング攻撃によって侵害されたという噂は聞いていませんでした」と、Amazon.comのコーポレートコミュニケーション担当ディレクター、パティ・スミス氏はメールで述べています。「当社のウェブサイトには、さまざまなフィッシング詐欺とその対策についてお客様を啓発するための情報が多数掲載されています。」（リンクはこちら）

ハッカーは、侵入は検知されていなかったため、ジョブズ氏もアマゾンも知らなかったと主張した。彼はAmazon.comのジョブズ氏のアカウントと思われるスクリーンショットを送信した。スクリーンショットには3つの購入履歴が表示されているが、詳細は隠されている。ブルーレイDVD、HBOのミニシリーズDVD、そして核爆弾の歴史を描いた『The Nuclear Express』のコピーだ。

スクリーンショットはこちらです。サムネイルをクリックするとフルサイズ版が表示されます。

iDefenseによると、ホエーリング攻撃は昨年の春にピークを迎え、2つのプロのハッカー集団が企業、法律事務所、政府機関の上級管理職を標的にしたという。

何百万人もの人々に無差別メール詐欺を送る代わりに、彼らは巧妙に細工されたメールを巧妙に使い、個人情報を満載したメールを企業の重役たちに送りつけました。重役たちは、ベタービジネスビューロー、内国歳入庁、連邦取引委員会などから送られたように見せかけたメッセージを受け取りました。

リンクをクリックするか添付ファイルを開くと、偽メールはキーロガーやApacheサーバー全体を被害者のマシンにインストールします。その後、犯罪者はそのコンピュータを監視し、企業や銀行のパスワードを探します。iDefenseによると、この詐欺は15ヶ月で1万5000社以上の企業を標的にし、「数百万ドル」の利益を上げました。

Javelin Researchの報告書（PDF）によると、2008年には米国で1,000万人が個人情報詐欺の被害者となった。Amazon.comはフィッシング攻撃の標的として頻繁に利用されている。

しかし、orin0co の話にはいくつか怪しい点があります。

最大の問題は証拠がないことだ。Appleは何も語っていない。ジョブズがこんな初歩的な詐欺に引っかかるとは考えにくいし、スクリーンショットは簡単に偽造できる。

ジョブズがオンラインショッピングをそれほど制御不能なほど頻繁に行うとは考えにくい。2万点もの商品数というのは信じ難い。さらに、ジョブズが最近購入した商品とされるスクリーンショットには、繁忙期のホリデーシーズン中に購入した商品はわずか3件しかなく、最後に確認できた購入は2008年10月のものだ。

とはいえ、orin0co とのメールのやり取りは次のとおりです。

—–PGP署名メッセージ開始
—– ハッシュ: SHA1

こんにちは。
私があなたに手紙を書いている理由は、あなたの本が
アマゾンで最初に売れた本の一つだからです:
https://www.amazon.co.uk/steve-jobs-Books/s?ie=UTF8&keywords=Steve%20Jobs&rh=n%3A266239%2Ck%3ASteve%20Jobs&page=1

できるだけ短くまとめたいと思います。

2年前、私はAmazon.comの偽ページを作成し、世界中の様々なIT担当者にメールを送信しました。中には、スティーブ・ジョブズという正体不明の人物もいましたが、私のメールを受け取ったにもかかわらず、私が仕掛けた詐欺行為に気づかず、私のメールアドレスに送信されたデータ（氏名、住所、クレジットカード番号、電話番号、Amazonのユーザー名とパスワード）を使って、自分のAmazonアカウントを「更新」したのです。

さて、彼のアカウント（まだ手つかずです！）を悪用することが私の意図ではありませんでした。唯一の目的は、その「詐欺」が非常に完璧で、IT の専門家でさえ騙されるかどうかでした。

S.ジョブズに関する本がベストセラーになっているのを拝見しました。彼のAmazon.comアカウントには今でもアクセスでき、6～7年間の購入履歴や興味関心の履歴もすべて残っています。今改めて確認したところ、昨年12月22日以降、彼がそのアカウントを使用していなかったことが分かりました。理由は分かっています。

私はこの情報を販売するつもりなので、あなたをリストの一番に選びました。

もし興味がなかったとしても、SJ ライフに関する他の本の著者 (Jeffrey Young、William Simon、Alan Deutschman、Anthony Imbimbo、Daniel Lyons など) はきっとこれについて非常に興味を持つでしょう。

ご連絡をお待ちしております。

よろしく

追伸：SJ Amazon アカウントにログインした「プリントスクリーン」を提供できます。

—–PGP署名開始
—– 文字セット: UTF8
バージョン: Hush 3.0

最初のメールに興味をそそられた私は、orin0coさんに、この情報にいくら請求するつもりなのか、そしてそれが本物であることをどうやって証明するのかを尋ねました。彼はこう答えました。

—–PGP署名メッセージ開始
—– ハッシュ: SHA1

カーニー様

まず第一に、もしこのニュースが大々的に報道されれば、MicrosoftとAppleの中間選挙戦を前に、Mac自体に深刻な問題を引き起こすでしょう。偉大なスティーブ・ジョブズを騙せるなら、Macがどれほど安全か想像してみてください。では、他のユーザーはどうでしょうか？

第二に、プリントスクリーンからわかるように、ジョブズ氏が10年以上にわたってオンラインで購入した約2万点の品物の記録があります。

伝記や本を書く人にとって、そんな重要な情報を手に入れることがどれだけ重要か、私には納得できない。というか、君たちは彼について何を知っているんだ？

違法だと言うなら、カーニーさん、私はこの情報を入手しました。他に誰も持っていません。不正使用もしていません。そうでなければ、ジョブズ氏はとっくにログイン情報を変更していたはずです。

アマゾンの書籍販売リストで1位だったからこそ、このチャンスを得られたのですね。あなたが真面目な方だと知っています。Wiredの編集者だって知っていましたから。きっと、これを手に入れたい人はたくさんいるでしょう。私たち二人とも、これが何なのか分かっています。

これを安値で売るつもりはありません。もし購入の余裕がない、あるいは興味がない場合は、良い一日をお過ごしください。他の方でお願いすることになります。

本日作成した「プリントスクリーン」ファイルを添付いたします。ファイルはパスワード保護されており、お客様の名字（頭文字は大文字）が入っています。

良い一日をお過ごしください

—–PGP署名開始
—– 文字セット: UTF8
バージョン: Hush 3.0