AT&Tは、iPad 3G所有者11万4000人以上のメールアドレスが流出したWebセキュリティ上の欠陥により、当然ながら非難を浴びています。Appleも、悪用された認証メカニズムを設計した責任を負っているとみられ、間接的に批判を浴びています。AT&TとAppleの双方にとって大きな恥辱であることは明らかですが、根本的な問題、そして同様のWebセキュリティ上の問題は、実は非常によく見られるものです。
実のところ、iPad 3Gのデータ漏洩には、エリート的な(あるいはハッカー用語で「l33t」と呼ばれる)要素は全くありませんでした。実際、CBSニュースでラリー・マギッド氏がGoatse Securityのアナリスト、ジム・ジェファーズ氏にインタビューしたところによると、セキュリティ研究者たちは認証の不具合を偶然発見したとのことです。ジェファーズ氏は、この脆弱性は「ほぼ偶然発見されたものでした。当社の従業員の一人がiPad 3Gのユーザーで、このデバイスを通常通り使用している中で、この脆弱性に気づいたのです。使っていて、何となく気づいたものでした」と述べています。
運転席のドアが開いていて、キーがイグニッションに差し込まれ、エンジンがかかっている車を見つけて盗んだからといって、一流の自動車泥棒になれるわけではないのと同じです。IT管理者にとっての教訓は、これらの穴を塞ぎ、車のドアが開いていないこと、キーがイグニッションに差し込まれ、エンジンがかかっていないことをより注意深く確認することです。特にWebサーバーの場合はなおさらです。
ウェブ上にうっかり公開されてしまった機密情報や秘密データを探し出すことに特化したハッキングのジャンルが存在します。ジョニー・ロング著『Google Hacking』と、それに付随するオンラインのGoogle Hacking Databaseには、公開を前提としていない興味深い情報を探し出すために使用できる数百もの検索クエリが掲載されています。これは実はGoogleに限ったことではありません。「ウェブ検索ハッキング」と呼ぶべきかもしれませんが、Googleは実質的にウェブ検索と同義であり、「Googleハッキング」の方が響きが良いのです。
マカフィーの CTO であり、1 台だけでなく 2 台の iPad を所有する George Kurtz 氏は、iPad 3G のデータ漏洩について詳細な分析を行い、「最近 AT&T/Apple が 114,000 台の iPad 所有者の情報を公開したことで、なぜこれほど騒ぎになっているのか、そしてそれは正当なのか」と考察しています。
Foundstone Securityの創設者の一人であり、『Hacking Exposed』の原作者でもあるKurtz氏は、こうした情報漏洩の脆弱性はほぼ日常的に発生していると述べています。Kurtz氏はさらに、「しかし、この種の脆弱性は、私たちが発見した中で最悪のものとは程遠いものです。…これはiPadの脆弱性というよりも、アプリケーションのセキュリティ評価を行う際に日常的に見られる一般的な問題です」と説明しています。
AT&Tの次の一手を避けたいIT管理者に向けて、Kurtz氏に話を聞きました。彼はさらに、次のようなアドバイスを述べています。「Webアプリケーション開発プロセスには、社内のセキュリティグループや外部コンサルタントをできるだけ早く関与させましょう。アプリケーションの公開前にチェック項目を追加する必要があるため、セキュリティチームやセキュリティコンサルタントが土壇場で呼び出されるケースはよくあります。その時点でアプリケーションにシステム上またはアーキテクチャ上の脆弱性がある場合、問題のあるアプリケーションに後からセキュリティ対策を講じるのは大失敗です。このようなアプローチはプロジェクトの遅延につながり、最終的には経営者に多大なコスト負担をもたらすことになります。」
TonyのFacebookページをフォローするか、 [email protected]までメールで連絡を取ることができます 。また、 @Tony_BradleyPCWとしてもツイートしています。
