2010年11月28日、stereocourierというユーザーがAppleのサポートフォーラムにスレッドを立てました。投稿者は、自分の知らないうちに、あるいは同意なしに、誰かが自分のiTunes Storeクレジットを50ドル以上iPhoneアプリに使ったと主張しました。このユーザーのアカウントにはクレジットカードは登録されておらず、今回の不審な購入はすべて彼のiTunes Storeクレジットから支払われました。ちなみに、stereocourierは自分のアカウントで様々な個人情報が変更されていたことにも言及していました。具体的には、自宅住所がメリーランド州タウソンにある見覚えのない住所に書き換えられていたのです。
本稿執筆時点で、このスレッドは45ページ以上に膨れ上がり、700件近くの投稿が寄せられています。何者か、あるいは何者かのグループが、iTunesギフトカードのクレジットを無断で使用し、ユーザーが望んでいないアプリを購入しているようです。ハッキングを行っている人物は誰であれ、かなり巧妙な手口のようです。数百人のユーザーがiTunesクレジットを盗まれており、最初の報告から10ヶ月が経った今でも、ハッキングの勢いは衰える気配がありません。
これはミステリー小説ですが、傑作とは言えません。優れたミステリーには、探偵が証拠を集め、捜査を行い、最後に派手な結末、つまり動機、犯人、そして(もし全てがうまくいけば)罰が下されるというストーリーが一般的です。しかし、タウソン・ハック事件のミステリーでは、残念ながら、犯罪、証拠、動機は提示されているものの、正義は示されず、真の解決も見られません。どうぞお気をつけください。
背景
ステレオクーリエがAppleのサイトで最初のフォーラム投稿をしてから数日、数ヶ月の間に、多くのユーザーがiTunes Storeクレジットが消えたという同様の体験を共有しました。レシートには、影響を受けたユーザーが実際には行っていない購入明細が書かれており、42ドル、20ドル、35ドル、10ドルといった金額が書かれていました。どんなに少額のストアクレジットでも、スワイプできないほど少額だったのです。被害を受けた顧客が次々と連絡を取ったところ、Appleのカスタマーサービス担当者は、今回限りでストアクレジットの返金に同意しましたが、不正行為やiTunesのハッキングは一切認めませんでした。
そして、被害を受けたユーザーの住所は次々とメリーランド州タウソンに変更されました。しかし、2011年1月になると、攻撃者がより巧妙になったか、他のハッカーが彼らの手法に気づいたかのどちらかでしょう。その頃には、towson md itunesGoogleの提案をきっかけに、iTunesストアのクレジットが消えたという同様の体験を詳述する多くのWeb投稿が見られるようになりました。この傾向は今も続いています。1月になると、タウソンハッキングの核心である鍵の盗難は相変わらずでしたが、一部の顧客から、iTunesアカウント情報はほとんど変更されていないにもかかわらず、ストアクレジットが消えたという報告が寄せられ始めました。また、ストアクレジットの残高が枯渇したのと同時に、クレジットカードがiTunesアカウントからリンク解除されたという報告も多くのユーザーから寄せられ始めました。
ストアクレジットを盗まれた多くの顧客は、購入が特定の開発者による少数のアプリに集中していたと指摘しています。その開発者の1つは「gao jing」で、「Expert Guide for Black Ops」、「Cheats Guide for Black Ops」、「Weapons Guide for Black Ops」、「Game Guide for New Vegas」などのアプリを開発しています。注目すべきは、これらのアプリはいずれも本稿執筆時点でApp Storeに残っていないことです。しかし、Appleはストアから削除された理由についてコメントを控えています。他の顧客は、自分のアカウントで購入したアプリはすべて「Hongbin Suo」、「lane ma」、「Yang Yun」、「KAMAGAMES」、「Lakoo」など、他の開発者のものだったと述べています。購入されたアプリ、またはその開発元の多くは中国に由来するものと思われます。
ウィスコンシン州に住むボブ・セイファート氏の体験は、まさに典型的なものだ。「8月12日の早朝、」と彼はMacworldに語った。「私のアカウントが、以前はアカウントにリンクされていなかったデバイスから(無料アプリの)Instagramの購入に使われたというメールが届いたんです。その直後、別の無料アプリが購入されたというメールが届きました。今度は中国製のアプリでした。そして、そのアプリを通じて、何らかのゲーム内通貨と引き換えに19.99ドルのアプリ内課金が行われていたんです。」
ザイファート氏はこのゲームについてこれまで聞いたことがなく、ダウンロードもアプリ内購入もしていないと述べている。フィッシング攻撃に遭う可能性に備えて、iTunesのパスワードをウェブフォームに入力した可能性について尋ねられると、彼はきっぱりとこう答えた。「いいえ、絶対にありません。私は大企業のIT部門で働いており、フィッシングについては熟知しています。職場の情報セキュリティグループと密接な関係があり、あらゆるものに非常に複雑なパスワードを使用しています。」 ザイファート氏のアカウントでの不正購入により、ハッキングの「2~3週間前」に入力したばかりの25ドルのギフトカードの残高がほぼ使い果たされた。興味深いことに、ザイファート氏はAppleからアカウントの請求先住所を変更したことを確認するメールも受け取っていたが、ログイン時には正しい住所(タウソンではなく)が表示されていた。
フォーラムのスレッドでよくある話だが、セイファート氏はAppleに連絡を取り、Appleは最終的に購入代金を返金した。しかし、同社は大きな問題はないと認め、返金は一時的な対応だと述べた。Appleはタウソンハッキング事件について正式な声明を出していない。Macworldが見つけることができた顧客へのメール、自社サイト、そしてその他のどこにも。
セガのセグエ
Apple のフォーラムで複数の被害者が唱えた説の一つは、タウソンハックは実際には悪質な開発者によって考案されたもので、彼らは主に偽のアプリを作成し、他の顧客のギフトクレジットを使用してそれらのアプリを購入し、その過程で不正に稼いだ現金を獲得したというものである。
しかし、盗まれたギフトクレジットが不要な中国製アプリの購入に使われていなかったことに気づいた人もいました。4月下旬以降、一部の顧客は、その資金がセガのゲーム「KingdomConquest」のアプリ内購入に使われていたことに気づきました。セガのような大企業が、タウソンハッキングのような悪意のある行為に意図的に関与するとは考えにくく、偽アプリの売上を伸ばす以上の何かが起こっている可能性を示唆しています。
タウソンハッキング事件の亜種であるKingdomConquestの被害に遭ったユーザーは、元のアプリを所有しておらず、ストアクレジットを使ってゲーム内課金を行ったこともありませんでした。しかし、ハッカーは何らかの方法で、被害者のiTunesアカウントで無料アプリを「購入」し、アプリ内課金を実行させることに成功しました。
セガは自社のフォーラムに次のようなメッセージを投稿した。
当社は現在、この申し立てとその他の申し立てについて調査中ですが、お客様の iTunes アカウント情報や取引履歴にアクセスできないため、Apple に直接お問い合わせいただくことを強くお勧めします。セガと「Kingdom Conquest」はいかなる形でも悪意を持って行動していないことを明確に申し上げます。
セガの広報担当者はMacworldと電子メールをやり取りしたが、上記のフォーラム投稿以外の件についてはコメントを控えた。
手口は変わらないものの、タウソン・ハッキングの亜種であるKingdomConquestには、異なる動機があることは明らかです。一つの可能性として考えられるのは、この手法に精通したハッカーが、ハッキングしたiTunesアカウントへのアクセスと、それを使い果たせるストアクレジットを販売しているというものです。ハッカーに10ドル払えば、ハッキングしたアカウントへのアクセスと50ドル分のストアクレジットが手に入るかもしれません。そして、セガのゲームは、そのような取引に応じる人々の間で非常に人気があることが判明するかもしれません。しかし、Appleとセガからのさらなるコメントがなければ、断言は困難です。このようなシナリオは、セガの人気ゲームがなぜこの混乱に巻き込まれたのかを説明する最も簡単な説明になりそうです。
タウソンとその先
6月までに、タウソンハッキングの背後にいる悪意あるユーザーは悪事の旅を開始したようだ。ストアクレジットが消えた後、請求先住所がフロリダ州マイアミやメリーランド州コッキーズビルなど、さまざまな場所に変わったと顧客から報告が寄せられ始めた。
6月にも、一部の顧客からAppleから明らかに異なる口調のメッセージが届いたという報告がありました。投稿者のUnbrknCh8nは、Appleが次のように書いたと主張しました。
お客様の状況を確認した結果、お客様の許可なく購入された商品について払い戻しを行うことは、iTunes Storeの利用規約(販売はすべて最終的なものであると規定)の例外として適切であると判断しました。49.97ドルの払い戻しがお客様のiTunesアカウントに入金されます。
購入が「許可なく」行われたことを認めたことは、Apple がタウソンハックの存在を実際に認めたことに最も近いものである。
しかし、その譲歩さえも、Apple のカスタマー サービス部門の間では成文化されていない。別のユーザー eric.h.210 は、今回が 2 度目の攻撃被害であるため、Apple は不正に発生した料金を返金しないと主張している。
アップルの応急処置
タウソンハッキング事件は依然として続いている。新たに被害に遭った顧客は、Appleのサイトでの議論にかなり頻繁に、いや、Macworldが先月からこのスレッドの監視を開始して以来、毎日のように参加している。
今年6月頃、AppleはiTunesアカウントにリンクされていないデバイスからアプリを購入した顧客にメールを送信し始めました。例えば、新しいiPhoneを購入し、そのiPhoneでアプリを購入した場合、次のような内容のメールが届きます。
お客様のApple IDは、以前そのApple IDに関連付けられていなかったコンピュータまたはデバイスで、App Storeから[問題のアプリ]を購入する際に使用されました。この購入を行った場合は、このメールを無視してください。このメールは、不正な購入からお客様を保護するための安全対策として送信されています。
メールには、iTunesのパスワードを変更し、セキュリティを強化するためのAppleのウェブサイトへのリンクが記載されています。ただし、不正な購入を報告するための直接リンクは提供されていません。このメッセージは、今回のようなハッキング被害に遭った顧客に警告を発する効果はあるものの、盗難行為そのものを阻止するものではありません。
ハッキングはますます恐ろしくなる
オレゴン州在住のクレイグ・ウィリアムズ氏は、タウソン事件のハッキングに新たな展開を加えた。彼は6月に被害に遭ったという。「目が覚めると、PayPalからiTunesで少額の購入を確認するメールが数通届いていました。」ウィリアムズ氏がPayPalに触れた時、彼の話は当初は無関係に思えた。PayPal関連のハッキングは、ほぼ例外なく、PayPalのパスワードをフィッシングに成功したことが原因だ。
しかし、問題はこれだ。ウィリアムズ氏はタウソン・ハッキングの被害に遭ったのは事実だ。「調べてみたら、ギフトカードの残高も引き出されていたんです」。iTunesの購入レシートをつなぎ合わせてみると、まずギフトカードの残高(「約20ドルくらい」)が盗まれ、その後iTunesにリンクされたPayPalアカウントが攻撃されたことがわかった。「幸いなことに、PayPalアカウントから使われたのは約100ドルだけでした」とウィリアムズ氏は言う。ウィリアムズ氏の場合、盗まれた資金はすべてセガのゲーム「キングダムコンクエスト」のアプリ内購入に充てられた。
アン・ロブソンさんのギフトクレジットも、 KingdomConquestのアプリ内購入で盗まれました。しかし、ロブソンさんのケースでは、さらに厄介な点が加わりました。ロブソンさんはイギリス在住です。Macworldへのメールで、彼女は6月のある金曜日の午後、約5分の間に3回の取引で「25ポンドのギフトカードをチャージしたのですが…そのほとんどが私のアカウントから盗まれました」と説明しました。しかし、ロブソンさんの話が(さらに)憂慮すべき点を帯びてくるのは、「私が取引に異議を申し立てた後、Appleによって私のアカウントがロックされたにもかかわらず、さらにお金を引き出そうとしたのです」という部分です。
Appleは、ロブソンさんに対し、アカウントがロックされている状態で誰かがアプリを購入しようとした理由を説明できませんでした。Appleは、不正行為を報告した際にアカウントをロックします。これは、クレジットカード会社が盗難を報告した際にカードの次回以降の請求を阻止するのと同じです。理論上は、アカウントがロックされた後はログインすら不可能になるはずです。
ロブソンさんのケースは、タウソンハックの背後にいる悪党たちが、Appleのブロックを回避できるほど巧妙な方法でiTunesアカウントに不正アクセスしたことを示唆しているのかもしれません。あるいは、彼女のケースは単なる偶然、つまり誤ってブロックが適用されたか、例外的なケースだったのかもしれません。
Macworld がタウソンハックについて Apple に問い合わせたところ、同社は次のような書面による声明を出しました。
iTunesユーザーのアカウントセキュリティ強化に常に取り組んでいます。クレジットカードまたはiTunesパスワードが盗まれ、iTunesで使用された場合、不正な購入について金融機関にご連絡いただき、iTunesアカウントのパスワードを直ちに変更してください。iTunesアカウントのセキュリティ保護に関するヒントについては、www.apple.com/support/itunesをご覧ください。
この情報は確かに有用ではあるものの、問題の核心であるストアクレジットの盗難という点には触れられていない。また、報告されている個々の盗難事例と同様に、Appleの声明では、今回の現象の根底にあると思われるような組織的なハッキングについては一切言及されていない。
さて、どうしましょう?
では、iTunesで不安を感じているユーザーはどうすればいいのでしょうか?Appleはこの問題の影響を受けた顧客に対し、概ね対応しているようで、最終的には返金も行いました。ただし、返金は顧客自身が問題を最初に報告した場合のみの対応だったようです。iTunesアカウントにストアクレジットを追加してすぐに使用しない場合は、残高を注意深く確認する必要があります。iTunes内で購入履歴を確認し、知らないうちにアプリを購入していないか確認してください。
iTunesの脆弱性を利用してハッカーが顧客からギフトカードのクレジットを盗む可能性があるようです。もしそうであれば、この脆弱性は10ヶ月近くも修正されていません。ご自身のアカウントがこの攻撃の影響を受けているとお考えの場合は、iTunesサポートフォームとAppleのプライバシー問題に関するお問い合わせフォームから、直ちにAppleにご報告ください。
パニックになる必要はあるだろうか?それは難しい。AppleはiTunesギフトカードで堅調な売上を上げている。1億人を超えるiTunesユーザーを抱えるAppleにとって、iTunesストアクレジットの全額が悪意のある人物に盗まれたら、インターネットは顧客からの苦情で停止状態に陥るだろう。同様に、ごく一部のiTunesユーザーだけを狙うことは、ハッカーにとって有利に働く。ほとんどのマルウェアやフィッシング攻撃と同様に、ハッカーは気づかれずに攻撃を続けながら、大きな利益を得ることができるのだ。
Appleは、タウソンハッキング事件は、脆弱で容易に推測できるパスワード、あるいは顧客を騙してハッカーのフォームにパスワードを入力させるフィッシング攻撃に起因すると示唆している。もしAppleの主張が正しいとすれば、ハッカーは何らかの方法で毎日、取得したすべてのアカウントにログインし、iTunes Storeクレジットを悪用できるか調べていることになる。これは容易なことではなく、検知を逃れながら実行するのは非常に困難だ。しかし、唯一継続的に報告されているハッキングがストアクレジットの盗難であるという事実は、この説の信憑性を低下させている。クレイグ・ウィリアムズ氏もPayPalアカウントを攻撃されたが、それはハッカーが彼のギフトクレジットを盗み始めた後のことだった。
なぜ攻撃者は、iTunesアカウントに紐付けられたクレジットカードを使って、こうした望ましくない購入をしようとしないのでしょうか? もしかしたら彼らも不正なクレジットカードで購入しているのかもしれません。しかし、ストアクレジット盗難の被害者がこぞってこの問題を報告しているのとは違い、そのような不正行為に気づいたり報告したりする人はほとんどいません。確かに可能性はありますが、可能性は低いでしょう。
警告されました
冒頭で述べたように、これは大した謎ではありません。犯人が誰なのか、なぜ攻撃がギフトクレジットだけを狙っているのか、そしてAppleが不正なストアクレジットを利用した購入を事前にブロックまたは検出できるかどうかも、まだ分かっていません。
つまり、タウソンハックの真の仕組みはまだ解明されていないということです。かつては中国でハッキングされたiTunesアカウントを購入できた時期もありましたが、アカウント自体がフィッシングやハッキングによって不正に購入されたのであれば、ストアクレジットを利用せずに不正な購入が行われるのは当然です。したがって、攻撃手段が何であれ、何らかの形でストアクレジットの存在がハッキングの成功の条件となっている可能性が高いと考えられます。
より深く理解できる点の一つは、その動機です。タウソン・ハックは、様々な犯罪者によって、それぞれ異なる目的で悪用されている可能性があります。より一般的なシナリオは、機能するものの実体のないアプリをApp Storeに提出し、盗んだiTunesクレジットを使ってそれらのアプリを繰り返し(あるいはアプリ内から)購入させ、「売上」で利益を得るというものです。しかし、タウソン・ハックを悪用する方法を見つけたハッカーの中には、自身のアプリのコピーを「購入」するのではなく、ギフトクレジット付きのアカウントへのアクセスを他者に販売することで利益を得ているケースもあるようです。
もちろん、それではそもそもタウソン ハックがどのように機能するかを実際に説明するわけではありません。
Appleの分析が正確である可能性は十分にあります。もしAppleの分析が正しいとすれば、タウソンハックは従来型のパスワードハックに過ぎません。実際、タウソンハックの被害者数名は、ギフトカード盗難の数日前に、アカウントへのログイン試行回数が多すぎるというメール通知をAppleから受け取ったと報告しています。これは、総当たり攻撃によるパスワード解読の試みを示唆しています。
つまり、ハッカーは強引なパスワードクラッキングでiTunesアカウントに侵入し、クレジットカードの請求額を積み上げるよりも目立たず、目立ちにくいギフトカードのクレジットだけを盗んでいるのかもしれません。あるいは、自動ハッキングプロセスを使って請求先住所を変更し、アクセス権があることを確認した上でクレジットを使い始めるのかもしれません。しかし、これは少し無理があるように思えます。ハッカーはすべてのアカウントに侵入し、クレジットがあるアカウントだけを攻撃するのではなく、ギフトカードのあるアカウントを明確に狙っているように思われます。
Apple は、Towson Hack は iTunes 特有のものではなく、単に iTunes をターゲットにした従来のハッキング攻撃であると考えているようです。そうでなければ、同社は 2010 年 11 月以降、何かを変えたはずです。
しかし、その説が正しいかどうかは未だ明らかではありません。Appleがこの脆弱性を正し、修正するまでは、iTunesユーザーは自分のアカウントを注意深く監視する義務があります。
[Lex Friedman は Macworld のスタッフライターです。]
