今、オスカー女優のJennifer Lawrenceなど、米国のセレブのヌード写真がWeb上に流出したことが話題になっている。欧米メディアの報道によると、攻撃者はAppleのオンラインクラウドサービス「iCloud」に不正アクセスして入手した疑いがあるという。これは、普及期にあるクラウドストレージにとって逆風となる可能性もある。
流出した写真は、英語圏ユーザーを中心とした画像掲示板サービス「4chan」に投稿された。被害にあったセレブはJennifer Lawrenceのほか、歌手のRihanna、モデル・女優のKate Upton、女優・歌手のSelena Gomez、モデル・女優でKynye WestのパートナーでもあるKim Kardashian、女優のKirsten Dunstなど100人に上るとも言われている。写真はすでに4chanから削除されている。
写真が流出したセレブの中には、自分の写真であることを認めた人もいれば、否定しているセレブもいる。例えば、自分の写真だと認めた女優のMary Elizabeth Winsteadは、何年も前に夫と自宅で撮影した写真だとツイートで記した。「ずいぶん前に削除した写真であることを考えると、(ハッカーは)気味の悪い努力をしたのだろう。ハッキングされた人全員に同情するわ」などとつぶやいている。一方、女優Victoria Justiceは、「私のヌードだという写真はフェイクだ」とツイートしている。
報道によると、攻撃者はiCloudのハッキングを行ってこれらの写真を入手した模様。「Find My iPhone」アプリとiCloudの脆弱性を悪用して、セレブのユーザー名とパスワードの組み合わせを試す「総当たり攻撃(Brute Force)攻撃」により不正アクセスに成功した、というのだ。
この一件を詳細に報じたThe Next Webは、「ibrute」というPythonスクリプトが、9月1日に人気のコードレポジトリサービス「GitHub」で公開されていたと伝えている。通常、誤ったパスワードが繰り返し入力されるとアクセスが遮断されてしまうが、このツールを利用することで悪意ある攻撃者は無制限にパスワードを試すことができる。パスワードがうまく適合すると不正アクセスに成功し、iCloudの機能を自由に操作できるという。なお、Appleはすでにこのツールに関連した脆弱性を修正している。
ibruteツールを開発したHackappにThe Next Webがコンタクトをとったところ、「このバグは、認証インタフェースを持つアプリにはよくあるもの」とコメントしており、発見にはそれほどの労力を要しないと説明しているようだ。
Appleは主要メディアに対し、「Appleはプライバシーを深刻なものとして考えており、今回の報告を調査しているところだ」とコメントしている。
セキュリティベンダー米TripwireのセキュリティアナリストはBBCに対し、「写真は、撮影に使った端末にだけ残っているわけではないことを熟知しておくべき」と、ユーザーが自分の写真やデータをコントロールできなくなっている現状を指摘する。さらに、「多くのクラウドサービス事業者はデバイスとクラウドの間の通信を暗号化しているが、データの保存先で画像やデータが暗号化されているとは限らない」と、クラウドサービスの弱点を指摘している。
Jennifer Lawrenceの事務所は、「これは紛れもないプライバシー侵害」として、法的手段を講じる旨を明かしている。