やられた!AT&TはiPad 3G所有者11万4000人分の機密情報をウェブ上に公開し、恥をかいた。Goatse Securityというグループが、AT&Tサーバー上の自動スクリプトを悪用して入手した被害者(多くは有名人、著名な企業幹部、高官)の個人メールアドレスを公開した。
Goatse Securityがこの情報を公開した真の動機は不明です。もし彼らが脆弱性開示の一般的な倫理に従っていたならば、AT&Tに直接連絡して欠陥を報告し、発見を発表する前にAT&Tが問題に対処するための合理的な時間を与えていたはずです。そしてもちろん、倫理的な開示には侵害されたデータの公開は含まれません。おそらくGoatse Securityは、AT&TかAppleに恥をかかせたかっただけでしょう。
AT&T の広報担当者から受け取った公式声明は次のとおりです。
AT&Tは月曜日に、ある法人顧客からiPadのICC IDSが漏洩する可能性があるという連絡を受けました。ICC IDSから取得できる情報は、当該デバイスに紐付けられたメールアドレスのみです。この問題は社内の最高レベルにエスカレーションされ、火曜日までに修正されました。メールアドレスを提供していた機能は実質的に停止されました。この脆弱性を発見した個人またはグループはAT&Tに連絡していません。引き続き調査を進めており、メールアドレスとICC IDSが漏洩した可能性のあるすべてのお客様にご連絡いたします。当社はお客様のプライバシーを非常に重視しており、この問題は既に解決しておりますが、影響を受けたお客様には深くお詫び申し上げます。
幸いなことに、データ漏洩にはクレジットカード番号や自宅住所といった機密性の高いデータは含まれていませんでした。データ漏洩に関わった個人は、より強力なスパムフィルター、あるいは単に新しいメールアドレスを取得する必要があるかもしれませんが、今回の漏洩によるセキュリティ上の懸念は特にありません。ホワイトハウス首席補佐官のラーム・エマニュエル氏やABCニュースのダイアン・ソーヤー氏は、あらゆる種類の迷惑メールに悩まされているかもしれませんが、今日のスパムのほとんどは、特定のドメインのあらゆる組み合わせに大量に配信されているだけです。著名人であれば、一般市民からの迷惑メールが大量に届く可能性が高いでしょう。
メールアドレスに加えて、各個人のiPad 3GのICC-IDも含まれていました。ICC-ID(集積回路カード識別子)は、iPadのSIMチップに割り当てられた固有のコードで、AT&Tの3Gネットワークへの接続を可能にします。
ICC-IDの漏洩がセキュリティ上の新たな影響をもたらすのではないかと懸念する声も上がっています。しかし、この事件に関するGawkerの記事では、ノキアのベテランであるエマニュエル・ガダイクス氏が、「長年にわたりGSM暗号の脆弱性が発見されてきましたが、ICC IDに関連するものはありません。私の知る限り、ICC IDに関連する脆弱性やエクスプロイト手法は存在しません」と述べています。
データ漏洩によるセキュリティ上の懸念がほとんどないという事実は、影響を受けた11万4000台のiPad 3Gユーザーにとっていくらか慰めとなるだろう。しかし、AT&Tの顧客からの評判やAppleに対する信頼性にはあまり響かないだろう。
TonyのFacebookページをフォローするか、 [email protected]までメールで連絡を取ることができます 。また、 @Tony_BradleyPCWとしてもツイートしています。
