先週開催されたMacworld Conference and ExpoでのSteve Jobs氏の基調講演を優先的に聞くことを可能にする高額パスが,不正に入手可能だったことが明らかになった。
あるセキュリティ専門家によると,同イベントのウェブサイトにセキュリティ上の不具合があったため,意欲的なハッカーなら1695ドル相当の「プラチナパス」を無償で入手できたという。Macworldで販売される最も高額なこれらのパスには,米国時間1月9日に行われたJobs氏による基調講演の優先席など,非常に魅力的な特典が含まれていた。Jobs氏は,会場を満員にしたこの講演でAppleの新しい「iPhone」を公開した。
カリフォルニア州バークレーを拠点にするセキュリティ専門家Kurt Grutzmacher氏は11日夜,今回のハッキングが可能だったのは,特別ディスカウント用のコードが,適切なセキュリティが施されないまま Macworldサイトから入手できるようになっていたためだ,と自身のブログに書いている。プラチナパスが無償になるこのコードを取り出すのは比較的簡単だったという。
Grutzmacher氏は無償「プラチナパス」を8日に入手し,9日にこの問題をIDGに報告したという。IDG World Expoは12日まで開催されていたMacworldの主催者。
Grutzmacher氏は,「彼らはほぼ1日がかりでログを調査し,この脆弱性を見つけて利用した人物がほかにもいたことを突き止めた。しかし,問題を報告したのは私だけだった」と書き込んでいる。
Macworldを主催するIDG World Expoはハッキングの事実を肯定も否定もしなかった。広報担当のCharlotte McCormack氏は米国時間12日,「ノーコメント」とだけ回答している。同イベントの登録を担当したRegistration Control Systemsの関係者は,すべての質問に対する回答をIDGに委ねている。
ウェブセキュリティを専門にするSPI Dynamicsの研究者Billy Hoffman氏は12日,電子メールでのインタビューに答え,Macworldに対して行われたとされるハッキング行為は,Web 2.0アプリケーションが抱えるセキュリティの問題を如実に表している,と述べた。
IDGは,申し込みを行うユーザーのPC上で確認処理の一部を行うことにより,ウェブサイトのレスポンスを改善しようとした,とHoffman氏は語っている。これは,複数のJavaScriptコードをブラウザにプッシュすることで可能になった。だが,こうすることで優先コードの検証方法も流出させてしまい,これが同ウェブサイトで利用されてしまった,と同氏は語っている。
同氏は,「今日(12日),IDGの登録ページを見たところ,JavaScriptのなかに優先コードがまだ残っていて,だれでも盗める状態だった。ユーザーの使い勝手を向上させようとしてプログラマーたちがディスカウント内容をすべてJavaScriptに入れてしまったため,攻撃者がこれを発見し,数千ドル相当の不正行為が実行できるようになってしまった」と語っている。
Grutzmacher氏の行為は,どんな素人でも可能なわけではない。同氏は,同イベントに登録しようとしてこれを見つけた。ディスカウントコードだと思われる「Priority Codes」と書かれたリストが,Macworldのオンライン登録ページに実際に含まれていたのだという。
ただ,このリストはプレーンテキストではなかった。暗号化されていて,多数のMD5ハッシュがあったと,Grutzmacher氏は書いている。しかし,クラックを可能にする重要な情報がウェブサイトに複数あったため,この保護対策をクラッキングするのは容易だった。プラチナパスを入手するためのコードは10秒もかからず手に入ったという。
この記事は海外CNET Networks発のニュースをシーネットネットワークスジャパン編集部が日本向けに編集したものです。 海外CNET Networksの記事へ
