AT&TのiPad顧客情報漏洩を生んだ、ある些細な機能

AT&TのiPad顧客情報漏洩を生んだ、ある些細な機能 1

AT&TからiPad 3G所有者約11万4000人の情報が漏れた件で、一番気になるのは影響ですが、日本はAT&Tのサービス圏外だし、情報が公になる前に対策済みですからアメリカ在住の方も特に心配ないようです。

次に気になるのが原因。先にお伝えの通りセキュリティグループ「Goatse Security」は今回、あるスクリプトを書いてAT&TのサイトのセキュリティホールからiPad 3Gオーナーの端末のICC-ID(SIMカードのICカード識別番号)とメールアドレスを大量入手したわけですが、どうしてそんなことが可能だったのか、AT&Tセキュリティ最高責任者エド・アモローゾ(Ed Amoroso)さんに直接話を伺ってみました。

すると誰も気にも留めないような、あるちょっとした機能が原因であることが分かったのです。

iPadで3G接続サービスにサインアップすると、AT&Tは端末のSIMカードの連番(ICC-ID)を確認し、連絡先に使うメールアドレスを尋ねてきますよね。アモローゾさんによると、この連番自体は「秘密の番号ではなく、いわば食器洗い機の連番みたいなもの」なのだそうです。

で、登録後自分のアカウント情報を確かめにユーザーがiPadからAT&Tのサイトに行く(Settings -> Cellular Data -> View Accountで開く)と、その端末のICC-ID利用者のメールアドレスが予め入力されてるんですね。サイトに行く度いちいちアドレス入力しなくても、パスワードだけ入れれば開く状態になってる。

Goatseはここに目をつけました。 

 

さっそく「総当たり攻撃(brute force attack)」(アモローゾさん)のスクリプトを使い、HTTPリクエストの一部でICC-IDをいろいろ試して送り、相手が諦めてメールアドレスを吐くまでそれを続けたんですね。被害が本当にiPadのICC-IDとメールアドレスだけなのは、そのためなのです。

どれだけの人が被害にあったのか? 具体的な数はまだ分かりません。アモローゾさんによると、AT&Tは「こうして話してる間にも寸暇も惜しんで科学捜査を進めている最中」で、それが完了するまでは「アドレス件数を実証する術はない」そうな。Goatseは「責任ある情報開示手順」に従わなかったので、AT&Tも独自に捜査をやらなきゃならなかった、その内部調査が済み次第、AT&Tは影響を受けた顧客に全員一人ひとりに通知を行い、「さらに詳しい全容を明らかにします」と話してました。

AT&Tは既にこの機能を無効化しましたから、今はみなさん、iPadの3Gアカウント設定を開くとメールアドレスは空欄になって表示されるはずですよ。また一から打ち込むのは面倒だけど...アドレスあんま長くないといいですねー。

FBI捜査開始、ハッカー「違法行為はない」

さて、ニュースが明るみになった翌日WSJは「FBIが捜査に乗り出した」とFBI報道官の談話を伝えました。何を調べるかはわかりません。

これを受け、Goastse主要メンバーのEscher Auernheimer(ハンドル名:Weev)さんは、「AT&Tへの通報は第3者を通して行ったが、火曜に穴が塞がるまでゴーカー(Gawker。ギズ系列ブログ)には情報は渡さなかった。渡した相手はゴーカーのライアン・テイト記者だけ。個人情報の売買はしていない。情報は一般の人でもアクセスできるウェブサーバーから入手したものであり、不正侵入や違法な行為は行っていない」と、さらに詳しい情報をブログに開示しました

実は入手したリストに社員が出ている大手報道機関にWWDC開幕前夜の日曜メールで概要をお知らせしてたのですが、噂を聞きつけてゴーカーがコンタクトするまでどこにもニュースとして取り上げてもらえなかったそうですよ? それもあって、「ゴーカーは問題あると言うマスコミは、私が先に知らせても無視したではないか、どっちが問題なのだ」と書いてます。

今後またこういうことは起こるのか? 

AT&Tのアモローゾさんは、「供給手順の技術が進み、サービス供給手法も再発明される中、問題は増えるでしょう」とし、「コミュニティでセキュリティの問題、セキュリティ強化を求める問題をいろいろくぐり抜けてきたからこそ使えるようになってる機能はみなさんも沢山思いつくと思いますよ」と話してるので、まあ、また起こるかもね。便利を取るか、プライバシーを取るか―これは昔からある二律背反ですよね...。

連邦通信委員会(FCC)のJoel Gurin消費者・政府関係局長はこう書いてます

「グーグルの事件(Wi-Fi個人情報回収問題)とAT&Tの事件はタイプこそ異なるが、それぞれ別個の異なる懸念材料があり、解決法も違うものが求められる。

iPadの事件はよくあるセキュリティブリーチ。多くの大企業に起こる可能性もあれば、また実際起きてもいる。―FCCがこのたびサイバーセキュリティ対策に重点を移したのはまさに、こういう類のことに対処するためだ」

今回の件、専門家の間からは「AT&Tは個人情報を全部一カ所にまとめておいた。小分けにして必要な時だけまとめて出すのが常識だ」という声も出ているわけですが、稀な事例ではないようなので、ここは「あってはならない」と怒るより、「起こる時は起こるんだな」という意識が肝要! 米ギズも書いてるように、こういう端末の登録にはせめてセカンダリの捨てアドレス使いましょうね。

WeevさんがCNetのインタビュー(写真あり。見事なヒゲ)で助言してるように、米国内でAT&Tに登録したiPadオーナーはメルアド変えた方が良さそうです。穴がふさがる前に同じスクリプトが第三者の手に渡ってアドレスがリークしてた場合(まずないけど万が一)、Safariの脆弱性とコンビで攻撃されたら困るので...ご用心あれ。

それにしても、この一連の出来事で皮肉だったのは、AT&Tのランダル・スティーブンソンCEOがちょうど初報の当日、IBMカンファレンスの講演でプライバシーとセキュリティについて重点的に論じていたことですね...。「みなさん、顧客の信用は一度失ったら最後...それを回復するのは並大抵の問題ではないですよ」-早速お手並み拝見。

matt buchananほか(原文1原文2原文3原文4/satomi)