米連邦捜査局は、推定114,000件のApple iPadユーザーの電子メールアドレスの漏洩について捜査を開始した。
Goatseと呼ばれるグループに属するハッカーたちは、AT&Tのウェブサイト上で、iPadユーザーに特別なクエリを送信するとメールアドレスを返すウェブアプリケーションを発見し、これらのメールアドレスを入手した。彼らは、サイトを繰り返しクエリする自動スクリプトを作成し、アドレスをダウンロードしてGawker.comに引き渡した。
FBIは現在、これが犯罪であったかどうかを調査中です。「FBIはこれらのコンピュータ侵入の可能性を認識しており、潜在的なサイバー脅威に対処するための捜査を開始しました」と、FBI広報官のリンジー・ゴドウィン氏は述べています。
依頼による調査
ゴドウィン氏によると、捜査は木曜日にFBIワシントン支局によって開始された。ゴドウィン氏は、捜査がアップル社とAT&T社のどちらからの要請によるものかは把握していない。AT&T社はコメントを拒否し、アップル社もコメント要請に応じていない。
Gawkerによると、Goatseのハッカーたちは、ホワイトハウス首席補佐官ラーム・エマニュエル、ニューヨーク市長マイケル・ブルームバーグ、ABCニュースキャスターのダイアン・ソーヤーのメールアドレスをダウンロードすることに成功した。また、Google、Amazon、Microsoft、そして米軍の従業員のメールアドレスにもアクセスした。
ハッカーらは、iPad ユーザーの ICC-ID (集積回路カード識別子) と呼ばれる何千もの固有の番号を推測し、それを AT&T の Web サイトに入力することでこれを実行した。
彼らは、AT&TのウェブサイトにICC-ID番号と思われる情報を大量に送信し、サイトがメールアドレスを返した際に応答を記録するPHPスクリプトを作成しました。AT&Tの最高セキュリティ責任者であるエド・アモロソ氏へのインタビューによると、このスクリプトは、iPad 3GユーザーがAT&Tアカウントを閲覧する際に、ログインフォームにメールアドレスを自動入力するウェブサイトの機能を悪用していました。
損害は否定される
ゴートセは木曜日のブログ投稿で、違法行為は一切行っていないと述べた。グループは公開ウェブインターフェース経由でメールアドレスを入手し、Gawkerに提供しただけで、他には提供せず、その後データを破棄したと述べている。「AT&Tに直接連絡したわけではないが、他の誰かがAT&Tに情報を提供し、Gawkerに情報を提供するまでパッチが適用されるのを待っていた。これはまさに『ナイスガイ』のやり方だ」
米国法はコンピュータへの不正アクセスを禁じているが、ゴートセ・グループが使用したスクリプトが法律に違反していたかどうかは不明だと、電子フロンティア財団の市民権担当ディレクター、ジェニファー・グラニック氏は述べた。「問題は、このような自動テストを実施した場合、不正アクセスが発生するかどうかだ」とグラニック氏は述べた。
問題のデータが不正使用されていなかったと判明した場合、連邦検察が告訴する可能性は低いと彼女は付け加えた。
