FC2ブログ

鈴の音情報局blog

携帯関連の将来や最新の技術情報や業界の行く末などを適当に綴るblogです。 内容の信憑性は?余り信じない方がいいと思います。
本家の鈴の音情報局はこちら→http://suzunone.0g0.jp:8800/
スマホ・携帯端末アクセス[ランキング][アクセスシェア(グラフ)] (毎年10/1にログをクリア)

【iCloudヌード写真漏えい問題】絶対アップルは認めない、しかしiCloudの管理者権限が奪われていないと説明がつかない所も・・・

画像、クラッキングの犯人とやり取りした人等を見たい方はこちらの記事へ

著名人の写真流出、新製品発表控えたアップルに痛手 ~ ロイター
新型「iPhone(アイフォーン)」発表間近とされるアップル(AAPL.O: 株価, 企業情報, レポート)にとって、米女優など多数の著名人の私的な写真がインターネット上に流出した問題は痛手となりそうだ。
同社は2日、クラウドサービス「iCloud(アイクラウド)」の著名人のアカウントに不正アクセスがあったことを明らかにしたうえで、同社のシステムへの不正侵入ではないと説明。米連邦捜査局(FBI)が捜査を開始したもようだ。
問題発覚後、ツイッターでは、アップルに批判的なコメントが急増。セキュリティーの専門家からは、クラウドサービス自体の問題点を指摘する声も出ている。

ヌード流出問題 米アップル「システムが破られたわけではない」 ~ SankeiBiz
米アップルは2日、米女優ら著名人の私的なヌード写真などがインターネット上に流出した問題について、同社のデータ保管・共有サービス「アイクラウド」のシステムが破られたわけではないとの声明を発表した。一方、著名人のアカウントへの不正アクセスは確認したという。
この問題では米アカデミー賞を受賞したジェニファー・ローレンスさんら多数が被害に遭っており、米メディアによると、米連邦捜査局(FBI)が捜査に乗り出した。

米セレブのヌード写真流出事件、米AppleはiCloudへの不正アクセスを否定 ~ マイナビニュース
Appleのストレージサービス「iCloud」を利用する米国のセレブたちのプライベートなヌード写真が多数流出した事件で、米Appleは現地2日、中間報告を発表した。それによると、当初疑われていた「iCloud」や「Find my iPhone」を含むAppleのシステムへの不正アクセスは確認できなかったとしている。
事件の発端は、8月31日に米国の著名人のプライベートなヌード写真が画像掲示板の「4Chan」に投稿されたことから始まる。被害にあったのは、オスカー女優のJennifer Lawrenceさんや歌手のRihannaさんらを初め100人近くに上ったようだ。
本件に関しては、全ユーザーに対して、強力なパスワードを使用し、2段階認証を設定することを推奨している。なお、同社は犯罪者を特定すべく、法執行機関とへの協力を続けていく。

アップルのiCloudから著名人のプライベート写真等の大量流出事件が更に拡大傾向。
犯人は15歳の少年との事ですが、その辺りの詳細は別記事の方に書いたのでそちらを参照してください。
(私の独自の記事ですので内容は正しいとは限りませんが)

事の真偽は、被害者が本物の写真であると既に認めている事や、アップルが
出した声明で、実際にiCloudから抜かれた写真である事が裏付けられています。
不正アクセスにより、アップルのサーバーから抜き出された写真であり、
アップルのシステムに脆弱性が潜んでいる事は間違いありません。

iCloudを設定すると自動でiPhoneやiPadの写真をiCloudでアップロードするので
今後、被害がさらに広がっていく可能性も考えられます。


ロイターには「新製品発表控えたアップルに痛手」とまで書かれる始末。
勿論皆さん同じ事を考えていますよね。

当然私も。

ですが、犯人も同じことを考えていたとすれば・・・。
犯人は意図してこの時期に決行したと考えれば色々辻褄が合うような気がします。
アップルをやっつけたいというよりは、単純に話題になりやすいという事なのかもしれませんが。

別の噂では既に15歳の少年は「おや?こんな時間時誰だろう・・・?」されてしまったとの
事ですが、真偽の程は不明です。

それとiCloudでは二段階認証で写真は保護されておらず、他の一部の機能だけとの話。
先の記事のコメ欄に書いて頂いたものを拝借。
Apple IDの2段階認証ではiCloudに保存された写真を保護できない ~ 携帯総合研究所
Apple IDの2段階認証で保護されているのは、未承認デバイスでの有料アプリの購入など

もっぱら世間ではブルートフォースでのクラッキングとの話ですが、私は違う可能性も十分に
考えられると思っています。

ブルートフォースとは、総当たり式のパスワードクラックの方法で、ネットワークを通じて、
A,B,C・・・AA,AB,AC・・・と本当に一からすべてコンピュータで自動にパスワードを発行して
アタックする方法です。

10回間違えたら一時間や丸一日ロックアウト等の方法で容易に防御できる攻撃でもありますが、
どうやらiCloudではそういった防御策がされていなかったとの話です。

しかしブルートフォースで出来る事は、個人のアカウントを乗っ取れるだけの話です。
それを100人近く行うのは非常に時間がかかり、現実的では有りません。

なので、もっと上位のIDが乗っ取られた可能性を私は感じ取っています。
何よりもトップにリンクした先の記事で、「名前を教えてくれたら日本人のタレントでも
写真を掘る」とリクエストを受け付けているとの事だったので、IDとPWのブルートフォース
ではそんな事は不可能です。

なので、このリクエストの件が本当ならば、アップルが「システムが破られたわけではない」は
嘘だという事になります。ブルートフォースでは個人名とIDの紐付けが出来ていませんからね。
自由に「この人」と女優個人を狙うなんて出来ませんよ。

管理者権限を奪われて、データベースか、アップルの社員だけがアクセスできる管理システム
に直にアクセスされている可能性が大です。そうなると、iCloudに大穴が有る事になるのですけど。

私的にはgoto fail;なアップルのコード品質を見させてもらいましたので、iCloudが誰かに
乗っ取られても全く不思議には感じません。iPhoneはストレージの暗号化等、きちんとした
作りになっており、一見アップルの言うように「セキュリティーは万全」と見えますが、
それを構築する内容が貧相ですからね。

例えるなら、入り口のドアは強固な作りで内部の防御も完璧ですが、裏に回れば安物の
「バールのようなモノ」で簡単に壊れる壁や窓で作られた家で、実狙われたら入りたい放題
の家だったというような感じです。


さてアップルからしてみれば、大量の(意図的な)リークでふいんき(ryを
作ってきたiPhone 6の発表に思わぬ冷や水を浴びせられた形になったわけで、
もう気が気ではないでしょう。

なのでこの件は何が何でも認めないはずです。
アメリカでは何か有っても、裁判を見越して絶対認めないのは常套手段です。
例え自分が犯人だったとしても。


いや、間違いなくアップルのシステムが脆弱で入られたと言っているわけでは有りません。
しかしシステムに入られていないと辻褄が合わない所があるよね~~と言っているだけです。

さて天才の15歳の少年は実在し、本当にアップルのシステムに侵入成功したのでしょうか。
リアルウォー・ゲームのようでドキドキしているのは私だけでしょうか?

関連記事
  1. 2014/09/03(水) 23:39:59|
  2. 携帯
  3. | トラックバック:0
  4. | コメント:1
<<【大阪880万人訓練】9月5日午前11時実施 | ホーム | iPhone 6の詳細なリーク映像、NFCを搭載で金属削り出しユニボディを採用との事ですが・・・がはてさて>>

コメント

システム屋の観点から言わせていただくと、こういう「管理者権限」は物理的なシステムを経由する「二段階認証」を採用すべきだと思います。
セキュリティや内部の品質が穴だらけで有名なアップルはそこもやってないんでしょうね。
二段階認証というのは、特定のクライアントから、特定のサーバ(このサーバはクライアントを指定する)へアクセスし、特定のサーバから本番環境(特定のサーバを指定する)へアクセスするというものです。
「踏み台サーバ」と呼ばれるものです。
接続ログをとり、操作ログをとり、不正な操作に制限をかける。
さらに、あらかじめ申請をしなければ、アクセスすらできない。通常は閉じている門で、申請があった期間だけ、特定ユーザに対して門を開く。もちろん毎回パスワードはランダムに決定され、特定ユーザに通知される。

仮に二段階認証をやっていたとしたら、またもやgo to fail;並みのシステム構築をしていたということでしょう。
  1. URL |
  2. 2014/09/04(木) 07:11:40 |
  3. 7743 #22s72cIM
  4. [ 編集]

コメントの投稿(投稿時には必ず何らかの名前を付けてください)


管理者にだけ表示を許可する

(名前を入れないとクリックできません)

トラックバック

トラックバックURLはこちら
http://suzunonejh.blog15.fc2.com/tb.php/5136-1d4045ff
この記事にトラックバックする(FC2ブログユーザー)

最近の記事

機能リンク

最近のコメント

カテゴリー

ブログ内検索

ブログリンク

RSSフィード

QRコード

QR

月別アーカイブ



メールフォーム

お問い合わせ・ご質問はこちらから。

名前:
メール:
件名:
本文:

suzunone.m(あっと)gmail.com に
直メでもOKです。