米Appleのクラウドサービス「iCloud」から米国人気女優やモデルなど著名人のプライベート画像が多数流出したと、複数の米メディアが現地時間2014年9月1日に報じた。AppleはiCloudにセキュリティ侵害があったかどうかについて、「現在調査に取り組んでいるとしている。

 米IT系メディアサイト「Re/code」によると、複数のiCloudアカウントがハッキングされ、ハリウッド女優などの写真や動画が匿名方式の画像掲示板「4Chan」に投稿された。画像は「Twitter」や「Reddit」など他のSNSを介して拡散されている。

 米FireEyeがこれまで判明している範囲で調べたところ、攻撃は極めてシンプルな手法が使われており、「2要素認証を有効にしていれば防止できたかもしれない」との見解を示している。

 最初の流出画像が4Chanに投稿されたのは8月31日で、投稿者は画像の入手先がiCloudであることを示唆している。しかし、iCloud以外からも画像を収集していることを認めているという(Apple関連情報サイト「AppleInsider」の報道)。

 ハッキングの手口については、ブルートフォース攻撃が可能性の1つとして挙げられている。9月1日に、iCloudのセキュリティ機能「Find My iPhone(iPhoneを探す)」に対するブルートフォース攻撃を自動化するコンセプト実証(PoC)ツール「iBrute」が、ソースコード共有サービス「Github」で公開された。

 同ツールはFind My iPhoneに存在する脆弱性を利用する。同ツールを公開したセキュリティ会社HackAppによると、すでにAppleはパッチを適用して脆弱性を解消している。米TNWが、画像流出に同ツールが使われた可能性についてHackappに尋ねたところ、「当社はそういった証拠は確認していないが、誰かが使用した可能性はある」と述べたという。