米Appleのクラウドサービス「iCloud」から米国人気女優など著名人のプライベート画像が多数流出した問題について、同社のTim Cook最高経営責任者(CEO)が現地時間2014年9月4日に米Wall Street Journalの取材に応じ、iCloudのセキュリティを強化する方針を明らかにした。同紙をはじめ複数の米メディア(New York TimesやCNET)が報じた。
具体的には、誰かがアカウントのパスワードを変更しようとしたり、未承認のデバイスからログインを試みたり、初めてのデバイスにデータを保存しようとしたりすると、ユーザーに電子メールまたはプッシュ型メッセージで知らせる。
これまでは、アカウントのパスワード変更と未承認デバイスによるログインの場合に、ユーザーに電子メールで通知していた。
セキュリティ強化は2週間以内に開始する。また、2要素認証の採用をさらに拡大する予定という。
9月第1月曜日のレイバーデー(今年は9月1日)を含む連休に起きた画像流出騒動は、iCloudのセキュリティ機能「Find My iPhone(iPhoneを探す)」に存在する脆弱性が原因とみる意見もあったが、Appleは9月2日の声明で、個別アカウントに不正アクセスがあったことは認めたものの、iCloud自体のセキュリティ侵害は無いとの報告した(関連記事:Apple、アカウントハッキングは確認するもiCloudシステムの侵害は否定)。
Cook氏は今回のインタビューで、著名人のアカウントが乗っ取られたのは、セキュリティの質問の答えを攻撃者が正確に推量したか、あるいはフィッシング手口によってユーザーIDやパスワードを不正入手したことにより実行できたものだと説明。AppleのサーバーからはApple IDもパスワードも流出していないと述べ、引き続き同社システムにおけるセキュリティ対策の甘さは否定した。
しかし米InfoWorldはAppleの見解に疑問を投げかけている。画像が流出した連休中に、ソースコード共有サービス「Github」でFind My iPhoneに対するブルートフォース攻撃ツール「iBrute」が公開されたが、これは無制限のブルートフォース攻撃を可能にするFind My iPhone用APIの脆弱性を利用する。同脆弱性は9月1日の時点ですでに修正されている。
