IPAは、コンピュータウイルスや不正プログラムの状況分析から、「今月の呼びかけ」を発表している。今月は、クラウドサービスからの情報漏えいについて取り上げている。
有名女優らのプライベート写真が多数流出
すでに多くの報道があったので、覚えている方もいるかと思うが、Appleが運営するクラウドサービスのiCloudから、有名女優らが保存していた写真が流出し、画像掲示板などに不正投稿された。その流れは、図1のようになる。
悪意ある第三者は、いずれかの方法にて被害者のIDとパスワードを入手したと推察される。この情報をもとに、iCloudに本人になりすまして不正ログインし、写真データなどを盗み出した。最初の漏えいは9月頭に発生した。それに対し、Appleは、図2のような調査報告をしている。
その3週間後に、同様の漏えいが発生し多数の女優の写真データが盗まれた。その際には、犯行予告などが出されるなど、より悪質化もみられた。この攻撃では、IDやパスワードを推察する標的型攻撃も使われたとの分析もある。こうして、安易なパスワード使っていた女優などが被害に遭ったともされる。
狙われたサービス : 自分のフォトストリーム
具体的には、どのようなサービスであったのか、簡単に紹介しよう。iCloudのサービスの1つである自分のフォトストリームが狙われた。
1台のiPhoneで撮影された写真をiCloud上に保存する。その写真データを所有する複数のデバイスで共有することが可能になる。このようなサービスは、iCloudの自分のフォトストリームに限ったことではない。写真以外でも、文書やスケジュールを保存することもできる。また、iCloud以外にも、同様なサービスは存在している。つまり、同じような被害は、クラウド上ならばどこでも発生する可能性がある。この点を、まずは覚えておきたい。
クラウドサービス利用における注意点
まず、IPAではクラウドサービス利用に関して、以下の注意点が存在することを指摘する。写真などのデータをPCに保存する場合、正しい対策が施されていれば、悪意ある第三者が、データを盗み出すことは不可能である(図4)。
ところが、クラウド上にデータを保存する場合、IDとパスワードがあれば不正ログインされてしまう。つまり、IDとパスワードが防御のための唯一で、もっとも重要な対抗策となる。IPAでは、以下の対策を推奨する。
- 安易に推察できるパスワードを使用しない
- 同じパスワードを使い回さない
- IDとパスワードの入力は、確実に本物と判断できるサイト上でのみ行う(フィッシング対策)
- セキュリティオプション(ログイン通知、二段階認証など)が提供されている場合は積極的に採用する
パスワードについては、これまでも同じような注意喚起を行ってきた。改めて、その重要性について再考してほしい。最近は、大規模な情報流出が各所で発生している。本人がいかにセキュリティを高めようとも、防ぎきれないこともある。使い回しをしていると、1つのパスワードが知られることで、不正ログインされる危険性が増大する。そして、図2もあるように、二段階認証なども効果的である。
また、クラウド上に保存するデータにも注意を払いたい。個人であれば、撮影した写真くらいならば、流失しても問題ないと思うかもしれない。しかし、今回の事例では女優にとってプライベート写真は、芸能活動にも影響するものだ。もし、仕事で使う文書・資料だとしたらどうだろうか。内容によっては、重大な被害となる可能性もある。クラウド上に保存してもよいデータか、仮に他人に見られても問題がないものか、そういった判断も重要になる。
そして、共有設定にも注意が必要である。多くのクラウドサービスなどでは、写真データなどを友人と共有する仕組みがある。友人を招待したり、自分が招待されることもある。
ここで問題となるのは、共有の範囲である。クラウドサービスによっては、その範囲が異なることが少なくない。たとえば、デフォルトで「友人」となっていたり、「すべての人」なっていることもある。知らずに不特定多数に、データを公開していたといったこともある。
クラウドサービスは、便利なものが多い。その一方で、必ずリスクも存在していることを覚えておきたい。そして、パスワードがもっとも重要な守るべきものであると再確認してほしい。