件のiCloudからのハリウッドセレブのプライベート大量写真流出について、Appleがプレスリリースを公開しています。
そのプレスリリースによると、Appleのエンジニアによる40時間もの調査の結果、流出の原因はiCloudのシステム上の欠陥ではなく、ユーザ名・パスワード・セキュリティーのための質問を対象とした攻撃により、特定の著名人のアカウントが乗っ取られてしまったことが明らかになったということです。
つまり、ハリウッドセレブのメールアドレスのリストが予め流出していて、それを使ったパスワード総当たり攻撃が行われた可能性が高いということのようです。一説によると、総当たり攻撃はFind My iPhoneの脆弱性を突いたものだという話もありますけど、このプレスリリースの内容ではAppleは否定していますね。
まあ、そうやってiCloudからデータを盗み取ったハッカーは、暗号化したiPhoneのバックアップデータのパスワードを解析できるツールElcomsoft Phone Password Breakerを使用してバックアップデータにアクセスするということです。
- Source WIRED
