アップル最悪のセキュリティブリーチ。iPad所有者11万4000人分のデータ流出

アップル最悪のセキュリティブリーチ。iPad所有者11万4000人分のデータ流出 1

アップルにまた災難です。

AT&TのサーバーのセキュリティホールからCEO、軍高官、政治家を含むiPad 3Gオーナーのデータが大量に流出しました。携帯ネットワーク対応のiPadを買った人全員にスパム商法や悪質なハックを受ける脆弱性があったのだとか...怖いですね。

社員がバーでiPhone試作機を紛失してまだ日も浅いのに、iPad 3Gのアーリーアダプターという、世界にも稀な著名人リストが外部に流れた格好です。リストにはニューヨーク・タイムズ・カンパニーCEOジャネット・ロビンソンからABCニュースアンカーのダイアン・ソーヤー、映画業界の実力者ハーヴェイ・ワインスタイン、マイケル・ブルームバーグNY市長まで軍・政・財・メディア界の重鎮が勢ぞろい。果てはホワイトハウスのラーム・エマニュエル大統領首席補佐官の情報まで流出したようですよ。

それだけじゃありません。このAT&Tネットワークの脆弱性を攻撃したウェブセキュリティ団体から編集部が入手したデータによると、ユーザー11万4000人の利用アカウントの情報も漏洩したようです。可能性としては米国内iPad 3Gオーナー全員の個人情報が漏れたことも考えられますが。

アップル、AT&Tにはコメントを求め、ホワイトハウスのラーム・エマニュエル大統領首席補佐官のオフィスにも電話をかけましたが、まだ返事待ちの段階です。

100609_ileak_inside1

この情報漏えいで露呈した情報は具体的に何かと言うと、契約利用者のメールアドレスとAT&Tのネットワーク上で契約利用者の認証に使う「ICC-ID」というIDです。 ICC-IDは「IC Card Identify」の略で、契約利用者が使っているモバイル端末のSIMカードを識別する番号のことですね。

AT&Tは最近になってセキュリティホールを塞ぎましたが、被害者には一切知らされていませんでした。発売からまだ2ヶ月。携帯のコンフィギュレーションもひとつという段階で漏洩なんて、気が気じゃないですよね。AT&Tの失態のようなので、それじゃなくても既に緊張状態にあるアップルとの関係がさらにややこしくなりそうです。

脆弱性はAT&Tのサーバー内ですが、ユーザーは購入時アップルにメールアドレスを提供しないとiPadをアクティベートできないので、アップルにもユーザーのプライバシーを守る責任は発生しますよね...。特に米国ではiPad 3GはAT&T独占でロックかかってるので。顧客データを共有する相手に選んだ通信ベンダーにはきちっと目を光らせなきゃいけませんね。

誰が、どう入手したのか?

 契約者のデータは「Goatse Security」を名乗るグループが入手しました。 4ちゃん風のネットカルチャーを彷彿とさせるネーミングですが、これは有名なウェブ写真からとった名前なのだそう。前にもFirefoxSafariブラウザに本物のセキュリティの脆弱性を見つけて注意を促したり、アマゾンコミュニティの評価レーティングシステムに欠陥なるものを見つけて(ゲイ本を一時ランキングから消して)、マスコミの注目を浴びた実績があります。

アップル最悪のセキュリティブリーチ。iPad所有者11万4000人分のデータ流出 2
Goatse SecurityはAT&Tのサイトにあるスクリプトからデータを入手しました。ネットの誰でもアクセスできるスクリプトです。HTTPリクエストの一部としてICC-IDを提供する際、このスクリプトはそれに付属するメールアドレスも返してくるんですね。これは見たところウェブアプリ内でAJAX風のリスポンスを意図してそうなってるようです。

問題のICC IDは、セキュリティリサーチャーたちが既知のiPad 3G ICC IDを見ながら山勘で用意しました。その中にはガジェット愛好家がFlickrや他のサイトに投稿した写真から拾ったものや、iPad持ってる情報共有して構わない親切な人にiPadの「Setting」開いて教えてもらったものもあります。

AT&Tのサーバーから応答してもらう部分は、単にウェブリクエスト内にiPad風の「User agent」のヘッダを入れて送るだけで良かったそうですよ。 この手のヘッダはユーザーのサイトのブラウザ種別を特定するものです。

グループではデータの回収を自動的に行うため、PHPスクリプトも書きました。AT&Tがセキュリティホールを塞ぐ前にそのスクリプトはサードパーティーの人たちに教えたとグループのひとりが僕らに言ってたので、流出した情報が誰の手に落ち、その情報でその人が何をしたのか、確かなところは分かりません。あるメンバーが言うには、11万4000人を上回る数のアカウントがハックされた可能性もあるそうです。

Goatse SecurityからAT&Tに通知が行ってはじめてホールが塞がれた、という流れになりますね。

Goatse Securityが入手したデータが本物なことは、11万4000人のリストに名前があがっていた中の2人の人を通して確認しました。文書に記載のICC ID(その人のiPad 3Gアカウントに付属の番号ですね)を送り、手持ちのiPadのコントロールパネルにあるICC IDと合ってるかどうか照合してもらったんです。IDはぴったり一致しました。

被害にあったビッグネーム

次に11万4067人分のエントリーに細かく目を通す作業に取り掛かったわけですが、あっと驚くビッグネームが出てくる出てくる。iPad 3Gって発売になってまだ2ヶ月も経ってないのに、こんなにアーリーアダプターの錚々たるエリートの間に支持を得てたんですね。

軍ではDARPAのドメインに登録されているのも何台かあります、そうです、あの国防総省高等研究計画局。主要サービス支部もちらほら。オオッと思ったのは、米空軍現役最大の戦略爆撃機B-1を指揮するWilliam Eldredge大佐の名前ですね。

100609_ileak_inside2

軍部・政府にも人気のiPad

メディア・芸能界でほ~と思ったのは、冒頭にも述べましたニューヨーク・タイムズ・カンパニー社主はじめ、ダウ・ジョーンズ、コンデナスト、バイアコム、タイムワーナー、ニュースコーポレーション、HBO、ハーストのトップエグゼキュティブたち。

100609_ileakinside3

メディアの重鎮もこんなに

ハイテク業界はグーグル、アマゾン(アマゾン!)、マイクロソフト、AOLほか。金融業界ではゴールドマン・サックスからJPモーガン、シティグループ、モーガン・スタンレイ、そしてベンチャー投資家と非公開投資会社。

政府。ラーマン・エマニュエルのものと思しきGメールユーザーはじめ、上院職員、下院議員、法務省、NASA、国土安全保障省、連邦航空局(FAA)、連邦通信委員会(FCC)、国立衛生研究所ほか。連邦裁判所の職員も大勢いました。

影響

他にもデータが人手に渡った有力者がいるのは間違いないです。一般ユーザーにもこれで「もしかしてAT&Tが自分のiPadのデータをハッカーに漏らすかもしれない」という心配の種が生まれたことになります。

VIPかどうかはさておき、少なくともAT&Tは大量のメールアドレスの大事な隠し場所を表に晒していたのです。iPhoneとiPadカスタマーの間ではそれじゃなくてもイメージ悪いのに、利益の出るアップルとの関係がまたまたこじれそうですね。

さらに分が悪いのは、本件についてAT&Tは最低2日以上前から知っているのに、カスタマーには被害報告を怠っていること(僕らとセキュリティグループが連絡した契約者の人たちは知らなかった)。アップルに連絡したかどうかも不明です。

問題は、ICC IDで何か被害が出るのかどうか? 僕らに連絡くれたGoatse Securityのメンバーは、GSM携帯標準の中に最近見つかったホールだということは、そのICC IDを使ってネットワーク上で端末になりすましたり、トラフィックを傍受できる可能性もあるという部分を心配してましたよ。 他のセキュリティの専門家2人に意見を聞いてみたら、その評価通りかどうか、そこまで確証はない様子。

モバイルのセキュリティコンサルタントでノキアに長かったEmmanuel Gadaixさんは、「GSMの暗号文に脆弱性が見つかるのは何年も前からあることだが、どれもICC IDは関係ないね...私が知る限りICC ID絡みの脆弱性や悪用のメソッドはない」と言ってました。

もうひとりのホワイトハット(善玉)のGSMハッカーでバージニア大学コンピュータサイエンス博士のKarsten Nohlさんも、テキストメッセージや音声のセキュリティは弱くても、「データ接続には普通、暗号化がしっかりかかるものなので... ICC-IDが表に出てもセキュリティに直接の影響はない」と言ってましたよ。ホッ。

でもそれでAT&Tが無罪放免とはいかないようです。博士曰く;

顧客のデータ、具体的にはメールアドレスなんてものが、大手電話通信プロバイダの不注意でリークするなんてゾッとする話だねえ。

まったくです。AT&Tカスタマーもみなそう思ってると思いますよ。

米版UPDATE1:

ニューヨーク・タイムズが全社員にメールを流し、エンジニアとセキュリティ担当者が問題を調べる間、「iPadで3Gネットワーク接続をオフにする」よう指示しました。

米版UPDATE2:

AT&Tからメールで謝罪文をいただきました。あんまり影響はないと話してます。

「AT&Tに法人カスタマーから月曜、iPad ICC IDSが表に流れた可能性がある旨、連絡がありました。ICC IDSで抽出できる情報は、その端末に付随するメールアドレスだけです。

本件は企業最上層部まで報告を上げ、火曜までに対処済みです。メールアドレスを出す機能はオフにしました。

このギャップを発見した個人あるいは団体からAT&Tに連絡は受けておりません。

引き続き調査し、メールアドレスとICC IDSが漏れた恐れのある全カスタマーにその旨ご連絡します。

当社はカスタマーのプライバシーを非常に厳粛に受け止めております。問題解消済みとは言え、ご不便をおかけしたお客様には心より謝罪いたします。

Ryan Tate(原文/satomi)