IPAは10月1日、2014年9月にAppleのクラウドサービス「iCloud」からのセレブの写真が流出した事件を踏まえ、クラウドサービスからの情報漏洩に注意するよう、iCloudを例にクラウドサービスを利用する上での留意点やアカウント管理のポイントを公開した。

iCloudからの画像流出の手口は明らかになっていないが、IPAは被害者がiPhoneで撮影した写真データがiCloudに保存されていて、何らかの手段で被害者のiCloudのアカウント情報(Apple IDとパスワード)を入手した悪意ある第三者がiCloudに不正ログインし、iCloudに保存されていた写真データを窃取したと考えられると説明している。

iCloudから画像が流出した事件の概要 資料:IPA

iCloudの「自分のフォトストリーム」を有効にすると、1台の端末で撮った写真が自動的にiCloudにアップロードされる。これにより、自分が所有する複数の端末間で写真データが同期され、閲覧することが可能になる。

「自分のフォトストリーム」による写真データ同期のイメージ図 資料:IPA

iCloudを利用すると、写真以外にもメール、連絡先、カレンダーなど、普段はiPhoneから確認・操作している情報を、他の場所にあるiPadやPCから確認・操作が行える。

したがって、iCloudのアカウント情報が悪意ある第三者の手に渡ってしまった場合、iPhoneやiPadで撮影した写真、iCloudから確認できるメール、連絡先、カレンダーなどの情報が窃取され、漏洩してしまうというリスクがある。

IPAは、iCloudのアカウント情報が悪意ある第三者の手に渡ってしまい、そのユーザーが「自分のフォトストリーム」を有効にしていた場合、以下のような流れで写真データが漏洩し、冒頭のプライベート画像流出のような事件に発展する可能性があると指摘している。

  1. 「自分のフォトストリーム」を有効にしていると、ユーザーがiPhoneで撮影した写真は、自動的にiCloudにアップロードされる。

  2. 悪意ある第三者がiCloudを利用できる端末からユーザーのアカウント情報を悪用してiCloudに不正ログインする。

  3. iCloudに保存されているユーザーの写真データが悪意ある第三者の端末にダウンロードされる。

  4. 悪意ある第三者が、入手したユーザーの写真データをインターネット上に流出させる。

iPhoneでの「自分のフォトストリーム」の設定を変更する画面 資料:IPA

iCloudに不正ログインされると、iCloud Driveに保存されているファイルなどが漏洩するおそれがあるほか、iCloudバックアップを利用している場合、自動的にバックアップされたデータが悪意ある第三者のiPhoneに復元されるとさまざまな情報の漏洩に繋がることがありうる。

IPAはクラウドサービス全般を利用する際、不正ログインを防止する対策として、「安易に推測できるパスワードを使用しない」「パスワードを使い回さない」「IDとパスワードの入力は、確実に本物と判断できるサイト上でのみ行う(フィッシング対策)」「セキュリティオプション(ログイン通知、二段階認証など)が提供されている場合は積極的に採用する」を挙げている。

そのほか、クラウドサービスによって異なる特性を理解したうえで、利用するサービスを選択することを勧めている。