メモ

iCloud経由でヌード画像が大量流出した手法の詳細と対処法を元ハッカーが解説

By Peter Renshaw

ハリウッド女優や歌手、モデルのヌード画像が大量流出した一件において、Appleは画像が同社のクラウドサービス「iCloud」から盗まれたことを認めましたが、複数メディアが事件発生当初に報道していた「iCloudへのハッキング」や「同社が展開しているFind My iPhoneの脆弱性をついたブルートフォースアタック」の可能性を否定しました。では、一体どうやってiCloudに保存されていた画像が流出してしまったのか、その手法の詳細について、TechcrunchOmnidriveといった数々のスタートアップに関わった起業家でありながらハッカーの肩書を持ち、セキュリティ関連の記事を多数執筆したことのあるNik Cubrilovicさんが公開しています。

New Web Order > Nik Cubrilovic - - » Notes on the Celebrity Data Theft
https://www.nikcub.com/posts/notes-on-the-celebrity-data-theft/

Appleが画像流出について発表した声明は下記の通りで、iCloudから画像が流出したことを認めたものの、iCloud自体へのハッキングやFind My iPhoneの脆弱性を利用した攻撃があったことについては否定。画像流出の原因に関しては「標的となったハリウッド女優や歌手、モデルが登録しているiCloudのユーザーネーム・パスワードを狙ったサイバー攻撃により不正アクセスされた」と言明しました。



今回の画像流出事件を独自に調査したCubrilovicさんによると、流出した画像が掲示板に投稿されたのは事件が発覚する1週間も前のことでしたが、画像にはモザイクがかけられていて、料金を支払ったユーザーだけがオリジナル画像を入手できるという仕組みになっていたため、掲示板がお祭り騒ぎになることはなかったとのこと。しかしながら、オリジナル画像を購入したユーザーが掲示板に投稿したことで、画像は爆発的な勢いで拡散されました。


インターネット上には多数のハッカーたちが情報やデータのやり取りを行う独自のコミュニティやネットワークが存在し、そういった場所では今回盗まれた画像の取引が行われています。「ハッカーのコミュニティやネットワークはサイバー攻撃を行う際にそれぞれの役割が分担されていて、メールやインスタントメッセンジャーなどのツールを利用して情報を交換している」とCubrilovicさんはサイバー攻撃の仕組みを説明。

サイバー攻撃のベースとなるのがFacebookやTwitterといったSNSからありとあらゆる情報を収集するハッカーたち。情報収集に手段は選ばず、有料サービスを使って公的機関に保存されているデータやクレジットカード情報なども集めます。集めた情報からターゲットの偽アカウントを作成し、ターゲットの友人などに接近して、パスワードや秘密の答えのヒントになりそうな情報を収集することもあるそうです。

上述のハッカーが収集したデータを元にターゲットのユーザーネームやパスワード、秘密の質問に対する答えを導き出す別のハッカーがいます。こういったハッカーはターゲットにRATやフィッシング攻撃、パスワードリセット詐欺を仕掛けてパスワードを盗み出すこともあるとのこと。


そして、解析されたユーザーネーム・パスワード・秘密の質問を使ってクラウドサービスに不正ログインし、パスワード保護を解除してディスクやシステムに自由自在にアクセスできるようにするソフト・EPRBの海賊版などを使って、ターゲットがクラウドアカウントから削除した過去のメッセージや画像、ムービーなどを別のハッカーが復旧。クラウドサービスから盗み出したデータを統合し、DropboxやGoogle Driveにアップロードした上で、アップロード先のリンクを多くのハッカーたちに送信するというわけ。

今回の画像流出事件で、AppleのiCloudを利用しているユーザーがハッカーの標的になったのには、iCloudに自動同期するカメラロールのバックアップがデフォルトで「ON」になっているからという理由があるそうです。当然Windows PhoneやAndroid端末も攻撃対象になり得るのですが、両OSともにデフォルトでクラウドへのバックアップが行われないので、ハッカーにとって初期設定を変更していないiPhoneユーザーは一番狙いやすいというわけ。


Cubrilovicさんは、誰しもが実行できるサイバー攻撃に対する防衛手段として「パスワードは複雑なものに設定」「秘密の質問の答えをランダムな文字列を含んだ長文にする」「2段階認証の実行」を挙げています。ただし、完璧の防御というものは存在しないので、クラウドサービスへの自動同期をオフにして普段からセキュリティの意識を高めることが必要です。

・関連記事
有名ハリウッド女優や歌手などのヌード画像が大量流出した経緯とは? - GIGAZINE

ゲーム内シャワーシーンの全裸画像流出にSCEが削除依頼 - GIGAZINE

Nexus5のプレス画像が流出したのでスペックや価格・変更点などまとめ - GIGAZINE

尖閣諸島沖での中国漁船衝突問題、オリジナル映像がYouTubeに流出か - GIGAZINE

次世代iPhoneと思われる写真が流出、安価なエントリーモデルも登場か - GIGAZINE

電話帳流出が可能な権限を持つアプリを一覧表示して注意をうながす「流出注意報」 - GIGAZINE

in メモ, Posted by darkhorse_log