米アップルのデータ共有サービス「iCloud」からハリウッド女優やモデルといった米著名人のヌード写真が流出した事件は、企業のスマートフォンユーザーにとっても対岸の火事ではない。同様の攻撃で、企業の機密情報が流出することもありえるからだ。

 この情報漏洩事件は、複数の米メディアが現地時間2014年9月1日に報じたもの。米国のセレブ達がiPhoneで撮影し、iCloudに自動転送された数百の私的な写真が漏洩し、ウェブ掲示板「4chan」やTwitterなどにアップロードされた。

 アップルは翌9月2日、「40時間を超える調査の結果」として、「特定のユーザ名、パスワード、秘密の質問に的を絞った、インターネットではありふれた攻撃」でApple IDアカウントが乗っ取られたとの見解を示した。iCloudの脆弱性を突かれたのではなく、何らかの理由でハリウッド女優のApple IDやパスワードが漏洩し、iCloudが不正ログインを受けたとの主張だ。

“うっかり漏洩”を起こしやすい

 業務で利用するiPhoneも、こうした攻撃にさらされる可能性は十分にある。米国の著名人に限らず、個人情報が詰まったApple IDアカウントは、サイバー攻撃の格好の対象になっているためだ。アップルのサイトを模したフィッシングサイトによるパスワード詐取も後を絶たない。

 「iCloudのようなデータ共有機能は、情報漏洩対策の盲点になりがち」。業務用iPhoneの管理の実態を知る複数のMDM(モバイルデバイス管理)ベンダーはこう声をそろえる。 iPhoneのiCloud機能では、データを同期していることが画面に表示されず、バックグラウンドで自動実行される。このため、データが転送されていることをユーザーが意識しにくく、“うっかり漏洩”を起こしやすい。

 iPhoneのiCloud機能が「有効」の状態だと、内蔵カメラで撮影した写真やスクリーンショット画像のほか、メール(iCloud専用)、連絡先、カレンダー、リマインダー、各種ドキュメントがアップルのクラウドストレージと自動的に同期される。これらのデータは、Apple IDとパスワードがあれば、PC(パソコン)など他の端末からも閲覧できる。

 iPhoneは、セットアップ時にiCloudの設定を促す画面が表示されるため、そのままiCloudを有効にする利用者は少なくない。この状態で業務に利用し、アカウントが乗っ取られた場合、業務に関連した写真データ、取引先の電話番号、社内文書などが漏洩してしまう。「工事現場の確認など業務でスマホのカメラ機能を利用している企業は多い」(MDMベンダーのソリトンシステムズ)。

 気をつけるべきはiPhoneだけではない。Android端末でも、同社のSNSサービス「Google+」のアプリを利用している場合、端末の写真や動画が自動的にGoogle+にアップロードされる場合がある。