プリンス・マクリーン
· 2分で読めます
Gawkerのレポートで紹介されたこの侵害は、Apple にとって「もう一つの恥辱」と表現され、iPad 3G SIM アドレス (ICC ID) に基づいて AT&T の Web サーバーに対する自動スクリプト攻撃によって電子メール アドレスが取得されたさまざまな著名人について概要が説明されました。
同誌は、この識別情報によって数千人のiPad 3Gユーザーが「スパムマーケティングや悪意のあるハッキングの標的になる可能性がある」と主張し、多くのユーザーが既にiPadのICC ID番号をFlickrの写真に公開していることを指摘しました。おそらく彼らの多くは公開メールアドレスも持っており、私たちと同様に既にスパムメールを受け取っているのでしょう。
AT&Tのウェブサーバーへの攻撃により、少なくとも11万4000件のiPad 3Gユーザーのメールがハッカーに漏洩しました。ハッカーは、他者がデータにアクセスできるようにする予定があったかどうかについては明言を避けていました。このセキュリティ漏洩は、特殊な形式のHTTPリクエストでユーザーのICC-IDを入力すると、そのメールアドレスが返されるというもので、その後修正されました。
このグループは、スクリプトを用いて、広範囲にわたるICC-IDシリアル番号のメールアドレス情報を自動で要求しました。それ以外の情報は発見されませんでした。
「直接的なセキュリティへの影響はない」
報告書は、セキュリティ侵害に関与した攻撃者が「GSM携帯電話規格で最近発見されたセキュリティホールにより、ネットワーク上のデバイスを偽装したり、ICC IDを使用してトラフィックを傍受したりすることが可能になる可能性がある」と主張していることを引用し、ICC IDが知られるとiPad 3Gユーザーはリモート攻撃に対して脆弱になると示唆した。
しかし、Gawkerは電話セキュリティの専門家にも取材し、ICC IDメールの漏洩が深刻な問題であるという主張に異議を唱えました。「モバイルセキュリティコンサルタントであり、ノキアのベテラン」であるエマニュエル・ガダイクス氏は、「長年にわたりGSM暗号の脆弱性が発見されてきたが、ICC IDに関連するものは一切ない。私の知る限り、ICC IDに関連する脆弱性や悪用方法は存在しない」と述べています。
報告書ではまた、「ホワイトハットGSMハッカーであり、バージニア大学でコンピュータサイエンスの博士号を取得している」カーステン・ノール氏が、「携帯電話のテキストメッセージと音声のセキュリティは脆弱であるが、データ接続は通常十分に暗号化されている[...] ICC-IDの開示はセキュリティに直接的な影響を及ぼさない」と報告したことにも言及している。
同時に、ノール氏は、AT&T が電子メール情報を公開しなかったことは極めて無能であると述べ、「大手通信会社が顧客データ、特に電子メール アドレスを不注意で漏洩したというのは恐ろしいことだ」と述べた。
更新: AT&Tは水曜日にこの侵害に関して以下の声明を発表しました。
この問題は社内の最高レベルに報告され、火曜日までに解決されました。引き続き調査を進めており、メールアドレスが取得された可能性のあるすべてのお客様にご連絡いたします。
