米AppleのクラウドサービスiCloudを利用しているセレブのプライベート写真が流出したと見られる問題に関して、米国時間の2日にAppleが調査の中間報告を公開した。セレブが保有する一部のアカウントのプライバシーが侵害された事実を認めたが、Appleのシステムへのセキュリティ攻撃による情報漏洩はなかったとしている。
騒動の発端は、8月31日に米国の人気女優やミュージシャンなど著名人の多数のプライベート写真が掲示板サービスの「4Chan」に投稿されたこと。投稿者がiCloudからの入手を示唆したため、iCloudがセキュリティ侵害を受けた疑いが強まっていた。
調査報告においてAppleは「強い憤りを覚え、ソースを究明するために直ちにエンジニアを動かした」としている。これまでの40時間を超える調査で、セレブが所有する一部のアカウントのセキュリティが破られていたことを確認した。個人をターゲットにした攻撃によって、ユーザーネームやパスワード、セキュリティ用の質問の答えなどが盗み取られたのが原因と見ている。iCloudやFind my iPhone (iPhoneを探す)を含むAppleのシステムがセキュリティ攻撃を受けた痕跡はなく、同社のシステムからのユーザーデータの流出はない模様だ。中間報告の中で同社は、こうした個人をターゲットにした攻撃を防ぐための手段として、予想されにくい複雑なパスワードの設定と2段階認証の利用を呼びかけている。
プライベート写真の流出経路については、攻撃者がFind My iPhoneの脆弱性を利用して「総当たり攻撃(Brute Force)攻撃」を仕掛けてセレブのユーザー名とパスワードの組み合わせを取得した可能性が指摘されている。Appleの中間報告はユーザーデータの大規模漏洩の疑いは払拭しているものの、詳細には触れていないため、流出の原因については依然不明なままだ。Brute Forceのようなシンプルな攻撃に対して万全の策が講じられていたのか、Appleのソーシャルエンジニアリング対策など、疑問は数多く残る。Appleは、ユーザーのプライバシーを侵害した人物が早く特定されるように引き続き捜査機関と協力しながら調査を進めるとしている。