先週発生したiPad 3Gユーザー11万4000人のメールアドレス流出事件を受け、セキュリティ調査会社の代表者とAT&Tは月曜日、激しい口論を繰り広げた。AT&TはGoatse Securityの行為を「悪意ある」と非難したが、AT&Tは「被害の可能性について不誠実だ」と反論した。しかし、双方とも今回のセキュリティ問題への対応について、多くの責任を負っている。
先週、Gawker は、Web 上で最も悪名高い Web サイトの 1 つにちなんで名付けられた Goatse が、AT&T が提供する Web ベースのサービスを利用して、約 114,000 人の iPad ユーザーの電子メール アドレスを抽出できた経緯を説明する記事を掲載しました。
iPadに3Gデータプランを追加するためのサインアッププロセスを簡素化するために設計されたこのサービスは、iPad Wi-Fi + 3GのSIMカードに関連付けられた固有IDを受け取り、対応する顧客のメールアドレス(おそらくアクティベーション時に収集されたデータに基づく)を返しました。Goatseは多数のIDを推測することで、著名人や高官、軍人を含む数万人のユーザーのメールアドレスを取得することに成功しました。
Goatse氏は、AT&TがGoatse氏を黙らせるための法的措置を取らないよう、匿名の第三者を通じて情報をAT&Tに開示したと主張している。一方、携帯電話事業者であるAT&Tは、プレスリリースと影響を受けた顧客への書簡の両方で、セキュリティグループが非倫理的な行為を行ったと非難し、このエクスプロイトによって得られた情報は各ユーザーのメールアドレスとユーザーのiPadに紐付けられた固有IDのみであると指摘した。また、FBIは、このセキュリティ侵害に関連する犯罪行為の可能性について正式な捜査を開始した。
しかし、話はそこで終わらない。この騒動の新たな展開として、Goatseのリーダーであるエッシャー・アウエルンハイマー氏は、グループのブログでAT&Tを批判し、Goatseが公表するまでAT&Tは問題を公表せず、その対応はセキュリティ侵害の真のセキュリティへの影響を軽視していると主張した。
アウアーンハイマー氏はさらに、同グループがSafariの全バージョンに欠陥を発見したが、この欠陥は今のところAppleのモバイル機器では修正されていないとし、iPadを乗っ取るために使用できる他の攻撃ベクトルが存在する可能性があり、機器を本質的に安全でないものにしていると述べた。
アウアーンハイマー氏はまた、これらの脆弱性の1つを漏洩データと組み合わせて利用することで、攻撃者の物理的に近くにあるiPadをデバイスの固有IDをスキャンすることで乗っ取ることができると主張しています。もちろん、このエクスプロイトに必要な知識とリソースのレベルは、ほとんどのユーザーにとってそれほど大きな問題にはならないでしょうが、著名な標的にとっては深刻な問題となる可能性があります。
非難が飛び交い、客観的に信頼できる情報がほとんどない状況では、この件で誰が悪いのか判断するのは難しいが、ひとつ確かなのは、非難されるべき人物はたくさんいるということだ。
AT&Tの開示における真の問題は、それが同社のプログラムの不注意な欠陥によって引き起こされたわけではないという点です。技術的に言えば、Goatseの研究者たちはシステムを「ハッキング」したり侵入したりする必要はなかったのです。なぜなら、システムは安全でない方法で動作するように設計されていたからです。
この出来事は、恥ずかしい一回限りの出来事というよりも、会社の開発慣行におけるセキュリティに対する根本的な配慮の欠如を明らかにしているように思われます。これは、ある意味では、熟練したセキュリティ専門家が、高度だが欠陥のあるセキュリティメカニズムを回避できたことが判明するよりもはるかに恐ろしいことです。
これは、日曜日に銀行の前を通りかかったら、金庫室の扉がスコッチテープで固定されているのに気づくようなものです。そもそも安全でないものを侵害するのに、高度な専門知識は必要ありません。同社の対応の遅さ、そして発生した事態に対する責任を迅速に負うこと、そしてセキュリティ対策の内部調査を実施して顧客に安心してもらうことを拒否していることも、同社の知名度を高める可能性は低いでしょう。
Goatse社にも、いくつか疑問点がある。例えば、セキュリティ情報の漏洩が事実であることを確認するために、なぜ11万4000通ものメールをダウンロードする必要があったのか、そしてなぜ11万4000通すべてを第三者に開示することにしたのか、といった疑問だ。厳選された数通のメールアドレスだけでも、セキュリティ問題が現実のものであり、AT&T社に警告を発し、誤りを正す機会を与えるべきであることを誰もが納得するには十分だったはずだ。
さらに、このグループの声明は、時に非常に好戦的であるため、AT&T の広報部門に反撃の材料を与えることなく、この深刻な問題を公表する上で、もっとよいアプローチがあったのではないかと思わずにはいられない。
