iPad購入者のアドレス流出、原因はWebアプリケーションの脆弱性か

セキュリティの専門家は、AT&TのWebアプリケーションの脆弱性が狙われたため、AppleやiPadのセキュリティ問題を突かれたわけではないと解説する。

» 2010年06月11日 12時49分 公開
[鈴木聖子,ITmedia]

 AppleのiPad購入者のメールアドレスが米通信大手のAT&Tから流出したとされる問題は、AT&TのWebアプリケーションの脆弱性を突き、コード番号の総当りを試みる方法でメールアドレスを取得されたとの見方が広がっている。

 セキュリティ企業Praetorian Security Groupのブログではこの問題について、「AT&Tが運用しているWebアプリケーションの設計の甘さを突かれ、メールアドレスが流出したもようだ」と伝えた。流出した中にはエマニュエル米大統領首席補佐官や米ニューヨークのブルームバーグ市長などのアドレスもあったとされる。

 英セキュリティ企業Sophosの研究者のブログによれば、メールアドレスの取得に使われたのは、SIMカードとユーザーを関連付けるために使われるICC-IDというコード番号の組み合わせを当てずっぽうに大量作成し、AT&TのWebサイトにリクエストを送りつける方法だったとみられる。「この方法で正規のICC-IDコードと合致したユーザーの電子メールアドレスを入手できてしまったようだ」という。

 Praetorianは流出にかかわったとされる「Goatse Security」というグループに接触し、同グループがAT&TのサイトからiPadユーザーのアドレスを取得するために使ったというスクリプトをブログで公表した。なお、AT&Tは既にこの問題を修正済みと伝えられている。

 Sophos研究者は今回の問題について、「iPadが絡んだために騒ぎが大きくなったが、このセキュリティ問題はAppleやiPadに存在するわけではない」と指摘する。パスワードや氏名、電話番号といった個人情報が流出した形跡もなく、「普段からインターネットで出回っているメールアドレスが流出したにすぎない」と解説している。

企業向け情報を集約した「ITmedia エンタープライズ」も併せてチェック

過去のセキュリティニュース一覧はこちら

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ