アップルのクラウドサービス「iCloud」から女優、歌手、モデルのプライベート写真が大量に流出した。これに便乗する詐欺行為も確認されており、注意が必要だ。
8月末、海外の匿名ネット掲示板に何者かがiCloudから入手したとする大量の画像を投稿し、これがネット上に拡散した。この件についてアップルは9月3日に、「ユーザ名、パスワード、セキュリティーのための質問を対象とした非常に的を絞った攻撃により、特定の著名人のアカウントが乗っ取られてしまった」ことによる流出だと発表している。iCloudなどアップルのシステムに欠陥があったことから発生したものではないという。
iOS端末でiCloudにバックアップを保存している場合、初期状態でカメラロール(写真や動画の保存場所)もバックアップの対象となっている。iPhoneやiPadで撮影した写真や動画が自動的にiCloudに送られていることに気付いていないユーザーもいると思われる。
また、アップルでは「2ステップ確認」をサポートしているが、iCloudに保存されているバックアップや、写真を別の端末に同期したり共有するための機能「フォトストリーム」は保護の対象ではない。
さらに、昨年からアップルのユーザーを狙うフィッシングが盛んになっている。これらの事情から、被害者のID/パスワードをフィッシングで入手、または推測した人物がiCloudに不正にログインし、iCloudバックアップを復元する、あるいはフォトストリームの機能を利用するなどして画像を入手したとみられる。
なお、今回被害にあったのは、iCloudを利用していたiOS端末のユーザーだが、画像を自動バックアップする仕組みはAndroid端末にも用意されている。Google+と連動する[フォト]アプリで自動バックアップを有効にすると、画像や動画がGoogle+に自動保存されるようになる。
■一般ユーザーが気をつけること
今回の件をめぐってカスペルスキーでは、コンピューターやモバイルデバイス、クラウドサービスからの情報流出を防ぐための対策として以下を推奨している。
1.強力なパスワードを使う。パスワードは、アカウントごとに違うものを使う。
2.デバイスはクラウドサービスへの入り口となるので、デバイスを守るためのセキュリティ製品を導入する。
3.2段階認証が利用できる場合は、必ず利用する。
4.クラウドに保管する情報と保管しない情報を仕分ける。自分個人に紐付くような情報は、クラウドに保存しない。
5.モバイルデバイスは紛失したり盗まれたりしやすいので、モバイルデバイスには取扱注意な情報を入れておかない。どうしてもそれが無理な場合は、情報を暗号化する手段を探して講じておく。
6.特に重要な情報を保管するときは(写真や動画を撮影する場合も同様)、デバイスからクラウドへ自動アップロードされる設定になっていないか確認する。
7.個人情報をシェアするときや、誰かが自分の写真を撮るのを許可するときは、シェア先のデバイスや撮影に使うデバイスがきちんとセキュリティ手段を講じてあって不用意に情報や写真が公になる恐れがないことを前もって確認する。
また、シマンテックとトレンドマイクロは、この件に便乗する詐欺行為に注意を呼びかけている。有名人の写真や動画が見られるとしてWebサイトに誘導し、動画プレイヤーと称して不正なプログラムをインストールさせようとする手口が確認されている。また、アップルをかたるフィッシングメール等が出回ることも考えられる。十分注意していただきたい。
(2014/09/09 ネットセキュリティニュース)
【関連URL】
・著名人の写真に関する調査状況の報告(アップル)
https://www.apple.com/jp/pr/library/2014/09/02Apple-Media-Advisory.html
・Apple IDの2ステップ確認についてよくお問い合わせいただく質問 (FAQ)(アップル)
http://support.apple.com/kb/HT5570?viewlocale=ja_JP
・写真と動画の自動バックアップ(Google)
https://support.google.com/plus/answer/1647509?hl=ja
・クラウドサービスからの情報流出を防ぐ方法(カスペルスキー)
http://blog.kaspersky.co.jp/celebrity-photos-leaked/4680/
・有名人のヌード写真流出事件に関連する詐欺にご注意(シマンテック)
http://www.symantec.com/connect/ja/blogs-356
・iCloud流出に便乗、不審なつぶやきなどを確認(トレンドマイクロ)
http://blog.trendmicro.co.jp/archives/9813