編集者注:この記事はComputerworldからの抜粋です。Macに関する詳細な情報は、ComputerworldのMacintosh Knowledge Centerをご覧ください。
推定11万4000件のApple iPad 3G所有者の電子メールアドレスを収集したハッカーらは、金曜日、自分たちの行動は「倫理的」であり、違法行為は何もしていないと弁明した。
ハッキンググループ Goatse Security は、AT&T の Web サイトの公開機能を使用して、iPad 3G 所有者の ICC-ID 番号と関連アドレスを AT&T のサーバーから収集する自動化された PHP スクリプトを使用して電子メール アドレスを入手しました。
AT&T は先週の火曜日、Valleywag ウェブサイトがこのニュースを最初に報じる前日にこの機能を無効にしていた。
「私たちの行動は倫理的だったと信じています」と、ゴートセのメンバーであるエッシャー・アウエルンハイマー氏は金曜日の電話インタビューで述べた。「私たちの行動は正しかったのです。」
オーエンハイマー氏は、ゴートセ氏はAT&Tがセキュリティホールを塞ぐまで調査結果を公表しなかったと述べ、この発表を「責任ある開示」だと擁護した。責任ある開示とは、ベンダーがバグを修正したり、脆弱性を回避したりした後にのみセキュリティ情報を公開することを指す。「我々は開示プロセスを遵守した。これは、少なくとも3分の1のセキュリティ研究者には到底及ばない」と、パッチが公開される前にバグの詳細を投稿する研究者を指して彼は主張した。
「これを公開することは公共の利益にかなうものでした」とオーエンハイマー氏は続けた。「例えば、iPad用のSafariの脆弱性を悪用する脆弱性があれば、この情報を入手できたはずです。AT&Tの顧客が即座にこの脆弱性を緩和できることは、公共の利益とAT&Tの顧客の利益にかなうものでした。」
ゴーツ氏は、発見した情報をAT&Tに直接伝える代わりに、匿名の第三者に情報を提供し、その第三者が設計上の欠陥をAT&Tに報告しました。オーエンハイマー氏によると、ゴーツ氏がこの方法を取ったのは、AT&Tが電子メールアドレスの漏洩を公表するのを阻止するのを防ぐためでした。「データの開示を阻むような(AT&Tからの)差し止め命令は望んでいませんでした。また、AT&Tに直接連絡する必要性も感じませんでした。」
ゴートセ氏は、入手したメールアドレスのリストに従業員名が記載されているフォックス・ニュース、ロイターなど複数のメディアに連絡を取ったが、どのメディアからも返信はなかった。
ゴーツ氏は代わりに、ValleyWagなどのテクノロジー系サイトやブログを運営するGawker Media社に連絡を取った。「データを提供したのはGawker社だけでした」とオーエンハイマー氏は述べた。「彼らだけが(この記事に)リソースを割いてくれる意思があったのです」。オーエンハイマー氏によると、Gawker社は11万4000件のメールアドレスリストを精査する作業を数人のインターン生に委託したという。
Goatseの暴露を批判したブロガーたちは、同団体がGawkerとValleyWagに独占記事を出したことに嫉妬していると、アウアーンハイマー氏は述べた。「批判的な人たちの大多数は、私たちがGawkerに記事を出したことに腹を立てているだけだ」と彼は付け加えた。
アウアーンハイマー氏は、AT&Tのサーバーから取得されたのはiPad 3G所有者のICC-ID番号と電子メールアドレスのみであると述べ、AT&Tが今週初めに主張した内容を裏付けた。
それ以来、連邦捜査局(FBI)は住所取得に関する捜査を開始した。FBIは、ゴートセ氏が米国法に違反したかどうかを判断しようとしていると述べた。
しかし、アウエルンハイマー氏によると、当局はゴートセに所属する誰とも連絡を取っていないという。「いいえ、法執行機関とは一切接触していません」とアウエルンハイマー氏は述べ、同グループが法律を犯したとは考えていないと付け加えた。
金曜日の早い時間にブログに投稿された記事で、オーエンハイマー氏はゴートセ氏のケースについて詳しく説明しました。「すべてのデータは、パスワードのない公開ウェブサーバーから収集されました。インターネット上の誰でもアクセス可能です」と彼は書いています。「いかなる意味でも、違反、侵入、侵入などは一切ありませんでした」
しかし、アウエルンハイマー氏は、自分とゴーツェのもう一人の会員が起訴されないとは確信が持てなかった。「起訴されないことを願っていますが、検察官は大陪審に何でもさせることはできます」と彼は言った。
「我々は自分たちの行動を堅持する」とオーエンハイマー氏は述べた。「我々はアメリカを愛しており、公益のために行動したのだ。」
AT&Tはコメントを拒否し、Computerworldに対し、今週初めに発表した声明を参照するよう指示した。声明の中でAT&Tは違法行為については一切言及しておらず、「この脆弱性を発見した個人または団体はAT&Tに連絡を取っていない」とのみ述べている。
AppleはiPad所有者の電子メール開示に関するコメント要請に応じていない。
