Appleは2014年3月から「セレブゲート」につながるiCloudの脆弱性を知っていた

今週はAppleにとって非常に悪い週だった。そして、状況は悪化するばかりだ。

「ベンドゲート」事件やiOS 8.0.1リリースの混乱以前、Appleは「セレブゲート」事件に直面していました。これは、ハッカーがiCloudに保存されていた有名人のヌード写真を公開した事件です。当初、Appleは写真の盗難は「iCloudや「iPhoneを探す」を含むAppleのシステムへの侵入によるものではない」と説明していました。

それは真実ではないかもしれません。

Daily Dotによると、Appleは2014年3月には既にiCloudユーザーの個人データを危険にさらすセキュリティホールを認識していたという。この結論は、同サイトが同社と著名なセキュリティ研究者との間で流出したメールを検証した結果である。

ロンドン在住のイブラヒム・バリック氏は、iCloudの「ブルートフォース攻撃」脆弱性について、Appleに何度も警告を発していました。この手法は、ハッカーが何千ものキーの組み合わせを試してパスワードを解読するために用いられます。ジェニファー・ローレンスやキム・カーダシアンといった有名人のヌード写真をダウンロードする際にハッカーが使用したとされる手法と全く同じです。

アップルは不正行為を認めていないものの、状況を改善するための措置を講じている。

CEOのティム・クック氏はウォール・ストリート・ジャーナルに対し、「ハッカーがアカウントを狙う危険性や、より強力で安全なパスワードを作成することの重要性を人々に認識させるために、アップルはもっと多くのことをできたはずだ」と認めた。

「この恐ろしい事態から一歩引いて、もっと何ができただろうかと考えると、意識向上の部分を改めて考えます」と彼は言った。「私たちには、その意識を高める責任があると思います。これは技術的な問題ではありません。」

今月初め、  AppleはiCloudアカウントの保護を強化するため、2段階認証の利用範囲を拡大しました。また、iCloudアカウントがWeb経由でアクセスされた際にアラートを送信するようになりました。

今後数週間で、さらに多くのアラートが配信される予定です。これには、iCloud パスワードの変更、アカウントからのデバイスの復元、新しいデバイスからのログインなどが含まれます。これまでは、パスワード変更とログインのアラートは、新しい Apple デバイスでこれらのイベントが発生した場合にのみ送信されていました。

現時点では、バリッチ氏の懸念がなぜ解決されなかったのか誰も語っていないが、それは驚きだ。

2013年6月、彼はApple Developer Centerのセキュリティ上の欠陥を発見しました。Apple は後に、Balic氏がWebサーバー通知ページにおけるクロスサイトスクリプティング（XSS）の脆弱性を報告したことを認めました 。

参照: Apple CEO ティム・クック氏がチャーリー・ローズ氏とのインタビュー第 2 部でプライバシーについて語っています。