IPAの今月の呼びかけ(10月) - クラウドサービスからの情報漏えいに注意を

IPAは、コンピュータウイルスや不正プログラムの状況分析から、「今月の呼びかけ」を発表している。今月は、クラウドサービスからの情報漏えいについて取り上げている。

○有名女優らのプライベート写真が多数流出

すでに多くの報道があったので、覚えている方もいるかと思うが、Appleが運営するクラウドサービスのiCloudから、有名女優らが保存していた写真が流出し、画像掲示板などに不正投稿された。その流れは、図1のようになる。

悪意ある第三者は、いずれかの方法にて被害者のIDとパスワードを入手したと推察される。この情報をもとに、iCloudに本人になりすまして不正ログインし、写真データなどを盗み出した。最初の漏えいは9月頭に発生した。それに対し、Appleは、図2のような調査報告をしている。

その3週間後に、同様の漏えいが発生し多数の女優の写真データが盗まれた。その際には、犯行予告などが出されるなど、より悪質化もみられた。この攻撃では、IDやパスワードを推察する標的型攻撃も使われたとの分析もある。こうして、安易なパスワード使っていた女優などが被害に遭ったともされる。

○狙われたサービス : 自分のフォトストリーム

具体的には、どのようなサービスであったのか、簡単に紹介しよう。