Appleの開発者向けサイトが閉鎖された原因は「セキュリティ研究者」?

AppBank の主任です。

先日お伝えした、Apple の開発者向けサイトが不正アクセスを受けた可能性がある事件ですが、現在もウェブサイトは閉鎖されたままです。

そんな中、TechCrunch が今回の閉鎖の原因かもしれない人物を取り上げています。Ibrahim Balic というトルコのセキュリティ研究者です。

理由は後述しますが、今回の事件で開発者・非開発者を問わず、一部の Apple ID の登録情報(氏名・メールアドレス)が流出した可能性があります。

念の為、Apple ID に登録しているメールアドレスに届くメールや Apple ID の利用状況には注意が必要です。

彼は何をしたのか?

TechCrunch によると、Balic 氏は Apple が保管している個人情報にアクセスする方法を発見して、Apple に報告しただけだと主張しているようです。

Balic 氏は iAd Workbench(アプリ開発者が iAd に広告を出せるツール)と Dev Center でセキュリティ上の弱点を見つけ、Apple に報告しました。

その上で、Balic 氏は iAd Workbench の弱点を利用し、取り出した一部の個人情報を画像加工などで隠すことなく、YouTube に投稿した動画の中で公開しました。

Balic 氏のこうした行動は7月16〜18日のもので、Apple が開発者向けウェブサイトを閉鎖したタイミングと合っている、と TechCrunch は伝えています。

Apple がこうした Balic 氏の行動を「不正アクセス」と見なしているかは不明です。

しかし、Balic 氏は Apple が声明の中で「不正アクセス」という言葉を使ったことで、自分が犯罪者として捜査対象になっているのではないか、と心配しているようです。

Appleは法的手段も講じることができる

セキュリティ研究者である Graham Cluley 氏は、今回の Balic 氏の行動は「ひどく無責任」と批判しています。

Balic 氏が発見したセキュリティ上の弱点を使って取り出した個人情報の一部を、個人を特定できないように加工せず、そのまま YouTube 上で公開したからです。

その上で、Balic 氏が悪意に基づいて行動していないとしても、彼は Apple の許可を得ずにデータの取り出しを行ったと指摘。Apple は Balic 氏に対して、法的な手段に出ることも可能だとしています。

ただ、Apple が Balic 氏に対して法的手段を講じるか否かは、ブランドイメージとの兼ね合いもあるので分からないとしています。

というのも、こうしたセキュリティ研究者による弱点の指摘は、方法にもよりますが、メーカー・利用者にとって有益だからです。

Appleの主張と合わない点

TechCrunch Japan の記事によれば、Apple は今回の件で開発者の個人情報に不正アクセスされた可能性があるとしています。

しかし、Balic 氏の主張によると開発者として登録されていない Apple ID の情報も取り出せたとしています。

これらの情報の中には TechCrunch の従業員の Apple ID も含まれていたとしており、Apple が保管していた情報であることは確かなようです。

Balic 氏や TechCrunch は取り出した情報に含まれるメールアドレスに対し、これは開発者として登録している Apple ID かを尋ねるメールを送ったそうですが、返信はまだないようです。

そのため、YouTube の動画の中で公開された個人情報が、開発者登録を行った Apple ID のものなのか、それとも一般ユーザーの Apple ID のものなのかは判明していません。

情報の一部は既に公開、利用者は注意が必要

Balic 氏が YouTube の動画で公開したのは、一部の Apple ID の登録情報で氏名・メールアドレスのみのようです。

該当する動画はすでに YouTube から削除されたか非公開になったようですが、動画がすでに複製されている可能性もあります。

念のため、Apple ID の乗っ取り・便乗した詐欺などに注意が必要です。Apple を装ったメールが届いたり、Apple ID の乗っ取りが試みられるかもしれません。

参考(順不同)

参考になったらシェアお願いします!
▼新着記事やオススメ記事を投稿中!
Twitterをフォローする → AppBank(@appbank)
Facebookページをいいねする → AppBank

オススメ