iCloudプロトコルのクラッキングでデータ入手可能、ロシアの研究者が発表

著名な研究者のカタロフ氏は、iCloudがWi-Fi経由で簡単に利用できる点を「設計上の技術的限界」と呼んでいる。

[鈴木聖子，ITmedia]

　ロシアのセキュリティ研究者がマレーシアで開かれたセキュリティカンファレンス「Hack In The Box」で、米Appleのクラウドサービス「iCloud」のプロトコルのクラッキングに関する発表を行い、ユーザーの情報を簡単にダウンロードできてしまう実態に警鐘を鳴らしている。

　発表はロシアのセキュリティ企業ElcomSoftのウラジミール・カタロフ最高経営責任者（CEO）が10月16日に行った。iCloudはiMessageやSMS、写真や音楽などのコンテンツ、端末の設定に関する情報などを同期してバックアップに利用できるサービス。

　カタロフ氏はこのサービスがWi-Fi経由で簡単に利用できる点を「設計上の技術的限界」と呼び、「Apple IDとパスワードさえ持っていれば、どんなコンピュータにでも全てを簡単にダウンロードできてしまう方法がある」と紹介した。

　iCloudのデータをダウンロードする方法は、iCloudの通信プロトコルをリバースエンジニアリングすることによって発見したといい、iCloudの通信プロトコルや暗号化の仕組みが明らかにされたのは今回が初めてだとしている。

　さらに、紛失したiPhoneがどこにあるかを追跡できる「Find My iPhone」については、「アカウントに関連付けられたApple端末を持っていなくても、位置情報を入手できてしまう方法がある」とした。

　同氏は以前から、iCloudやFind My iPhoneが二要素認証で守られていないことを問題視していた。