Shutterstock.com

Apple IDの漏洩元はアップルの業務委託先企業

牧野武文

September 25, 2017 08:00
by 牧野武文

浙江省蒼南(そうなん)県公安は、職務上知りえた個人情報を利用し、違法入手したiPhoneのロックを解除したとして32名を逮捕した。32名はいずれもアップルの業務委託企業社員で、内部犯行だったと新華社杭州が報じた。

盗難されたiPhoneが使えない理由

iPhoneをリセットしても、再度アクティベーションをするには、以前の利用者のApple IDにより認証を行い、アクティベーションロックを解除する必要がある。この仕組みがあるために、盗難iPhoneの再利用は難しく、それがiPhoneの盗難を抑制している。

アクティベーションロックを突破する方法はいくつかある。以前、紹介したように偽装iCloudサーバーに接続をして、Apple ID認証が正しく行われたかのようにiPhoneを騙す方法。また、内部を分解してチップを換装してしまうという強引な方法もある。

蒼南県公安は、盗難iPhoneを違法に入手したApple IDにより洗浄=ロンダリングをして、中古市場に流していた32名を逮捕した。いずれもアップルの業務委託先企業の関係者で、内部からの漏洩だった。

盗まれたiPhoneが売られていた

捜査のきっかけになったのは、ある市民からの通報だった。iPhoneを使っていた趙さんは、3ヵ月前にiPhoneを紛失していた。ところが昨年5月に、趙さんは、自分のiPhoneが中古市場で販売されているのを偶然発見した。趙さんは、そのiPhoneを購入し、確かに自分が以前使っていたiPhoneであることを確認した後、蒼南県公安に届出をした。

趙さんがなぜ中古市場で売られたiPhoneが自分が以前使っていたものであるということがわかったか。それは趙さんが、iPhoneのIMEI(International Mobile Equipment Identify=国際移動体装置識別番号)をメモしていたからだ。IMEIは、すべての携帯電話に割り当てられている個体識別番号で、iPhoneの場合は、本体背面に刻印されている。この番号が一致していたことから、趙さんは自分のiPhoneだと判断した。

趙さんはアクティベーションロックを設定していたので、趙さんのApple IDとパスワードがなければ、iPhoneを別人が利用することはできない。しかし、手に入れたiPhoneはアクティベーションロックが解除されており、新品のiPhoneと同じよように新しいApple IDを設定できる状態になっていた。

iPhoneユーザーを狙ったフィッシングサイト

蒼南県公安は、ちょうどその頃、フィッシングサイトを利用して個人情報を盗もうとする事件の調査を行っていた。その中にiPhoneユーザーばかりにフィッシングサイトに誘導するショートメッセージ(SMS)を送っている犯罪者集団がいた。蒼南県公安は、趙さんの事件とこの犯罪集団は結びつくのではないかと考えた。

つまり、盗難iPhoneを手にいれると、その元の所有者にフィッシングを仕掛け、Apple IDなどの個人情報を盗んで、アクティベーションロックを解除しているのではないかと推定したのだ。

蒼南県公安がこの線で捜査を進めると、ある広州の製造企業(社名は各メディアとも報道をしていない)が浮かび上がってきた。この企業は、アップルの業務委託先企業のひとつで、iPhoneの製造の一部を受け持っていて、社内にはApple IDやIMEIなどの情報が蓄積されている。ここから情報が漏洩しているのではないかという疑いが持たれた。

しかもこの企業は、社員がたびたびアップル関係の個人情報を外部に漏洩し、この3年間で50数名を解雇していることも判明した。

蒼南県公安は、この企業の社員と辞職した元社員35名の逮捕状を請求し、今年5月3日に、広東省、江蘇省、福建省で、一斉逮捕作戦を敢行、32名を逮捕した。

Apple IDのパスワードは1件3000円

この32名は、Apple IDの個人情報を閲覧できる地位を利用して、特定のApple IDのパスワード、姓名、携帯電話番号、住所などの個人情報を外部に漏洩し、1件あたり10元から180元(約3000円)で販売をしていた。

彼らは、さらに、地下サプライチェーンと接触、盗難iPhoneのIMEIリストを入手し、このIMEIのApple ID個人情報の販売もしていた。当然、その情報を使って、アクティベーションロックを解除、中古iPhoneとして市場に流されていたと思われる。この32名のリーダー格の人間は、わずか1ヶ月で75万元(約1200万円)を稼いでいた。この金額からして、流出したApple IDの数は相当なものに上ると推定される。1件180元だとしても、約4000件になる。

この企業は、当然、アップルとは厳格な秘密保持契約を交わしているはずで、今回の事件で、アップルからなんらかのペナルティを課せられていると思われるが、その動きは、どのメディアもつかめていない。

やっかいな業務委託先企業からの漏洩

アリババが中心になって設立した電商生態安全連盟が発表した『電子商務生態安全白書2017』によると、ネットサービス企業の顧客個人情報の漏洩の49%が内部犯行であるという。

中国の個人情報漏洩の原因の半分は、内部漏洩。中には、個人情報を盗む目的でIT企業に就職をするダークサイドハッカーもいる。『電子商務生態安全白書2017』より作成

日本でも2011年の秋に、立て続けにApple IDが乗っ取られるという不可解な事件が起きている。Apple IDが勝手に使われ、相当数の人が「中国産」のゲームの有料アイテムを勝手に購入されてしまうという被害を受けた。

対応したiTunes Store側の対応も不可解なものだった。多くの人が直感的に思った「アップルのサーバーがハッキングされてApple IDが漏洩しているのではないか」という疑いを強く否定し、あくまでも利用者自身のパスワード管理の問題とした上で、被害金額については、「今回1回限りの特例で」返金をするというものだった。

iTunesStoreがこのような個別対応を取ったことで、事件化することがなかったので、どのくらいの人数がこの被害を受けたのかは不明だが、iTunesStoreの不可解な対応を考えると、今回の蒼南県公安が摘発した事件と同様のことが当時起こっていたのではないかとも思える。少なくとも、そう推測すると、いろいろ辻褄があうのだ。

アップルにとっては、業務委託先企業から情報が漏洩するという極めて厄介な事件で、アップルも被害者であると言えるが、今後、多くの企業で同様の漏洩リスクを意識して、対応をしておく必要がありそうだ。

ニュースで学ぶ中国語

 
内鬼(neigui):内部犯行をする人のこと。中国に限らず、内部犯行は情報漏洩の大きな原因になっている。企業が、消費者かの信頼を失うことを恐れて、事件化しない例も多く、その実態はなかなか明らかになっていない。

BugBounty.jp

システムに内在するリスクをチェックセキュリティ診断(脆弱性診断)

提供会社:スプラウト

企業や組織のWebアプリケーション、各種サーバー、スマートフォンアプリケーション、IoTデバイスなどの特定の対象について、内外の攻撃の糸口となる脆弱性の有無を技術的に診断します。外部に公開す るシステムを安心かつ安全に維持するためには、定期的なセキュリティ診断が欠かせません。

BugBounty.jp

サイバー空間の最新動向を分析脅威リサーチ

提供会社:スプラウト

サイバー攻撃に関連した機密情報や個人情報が漏洩していないかをダークウェブも含めて調査し、もし重要な情報が発見された場合は、その対応策についてもサポートします。また、サイバー攻撃者のコミ ュニティ動向を分析し、特定の業種や企業を狙った攻撃ツールやターゲットリストが出回っていないかなどの特殊な脅威調査も請け負っています。

中国でライドシェア殺人事件が発生

May 22, 2018 08:00

by 牧野武文

5月6日早朝、中国版ウーバーの「滴滴出行」(ディディチューシン)のライドシェアを利用した女性が、運転手に殺害されるという痛ましい事件が起きた。ほぼすべてのメディアが連日報道する大事件となった。各交通警察は、中国人民公安大学が制作した「ライドシェアを利用する女性のための安全防犯ガイドブック」を配布して…

アリペイの盲点を突いた男に懲役5年

May 15, 2018 08:00

by 牧野武文

アリババが運営するQRコードスマホ決済「アリペイ(支付宝)」のシステムは、かなり堅牢だ。 アリババは、どのようなセキュリティ対策をしているかは一切公表していない。ただ、ネットではよく「10段構えの防御システムになっている」と言われる。最も外の防御システムが突破されるとアラートが発せられて、緊急チーム…