米国時間11月2日、「あなたのiPhoneは安全でなかったのでハックされました。doiop.com/iHackedにアクセスしてあなたの電話に今すぐセキュリティ対策を!」というメッセージが、自動的に攻撃された多数のオランダに住むiPhoneユーザーの端末画面に現れた。また、このメッセージではiPhoneのセキュリティ対策についての説明と、そのメッセージを起動画面に出なくする費用として4ドル95セントを要求している。
これは、オランダの10代の若者が、T-Mobileの3G IPネットワークを対象としたポートスキャンとOSフィンガープリント取得を組み合わせて行った攻撃で、jailbreakされたiPhoneに導入された既知の脆弱性が初めて自動的に悪用されたケースだ。jailbreakされたiPhoneにインストールされているSSHデーモンには、ユーザーが修正しない限り、デフォルトで設定されているユーザーであるrootとmobileにすべて同じパスワードが設定されている。
攻撃者の要求内容は次の通りだ。後述するとおり、PayPalのアカウントが停止されてスパム広告のURLも使えなくなるにつれて、態度が変わっていく。
今はオフライン状態になっているが、サイトには次のようなメッセージが掲載されていた。
iPhoneユーザーの方へ
あなたのiPhoneは安全ではありません。このページをご覧になっているのはそれが理由ではないでしょうか。4ドル95セントをわたしのPayPalアカウントPureInfinity92@mailinator.comに振り込んでみてください。そうすればiPhoneを安全にする方法を記したとてもわかりやすい説明書をEメールでお送りします。わたしのメールアドレスはPureInfinity92@gmail.comです。
支払わないというのであればかまいません。ですが、あなたのiPhoneにアクセスするのに使った手法が何千人もの人に使われるかもしれません。何千人もの人たちが(わたしがしたのと同じように)あなたの電話番号からテキストメッセージを送ったり、電話をかけたり(あるいはあなたの通話を録音したり)できます。というよりは、やりたいことは何でもできるのです。攻撃に使うこともできます。わたしにはあなたに危害を与える意図はないことをお約束します。でも、危害を及ぼすハッカーもいるのです!あなたのお電話を安全にすることをお勧めします。それではごきげんよう!
メディアがこの話題を追うようになり、オランダでよく知られているITフォーラムでも活発に議論されるようになって、彼のPayPalアカウントは即時停止された。楽観的で倫理観に欠けるこの恐喝者は素早く態度を変え、謝罪とともにデフォルトSSHパスワードを変更する手順書を投稿した。この手順書は、もともとは有償で提供するつもりだったものだ。
この自動的な攻撃手法は、驚くべきものではない。
SSHのrootにデフォルトが設定されていること、iPhoneのOSフィンガープリントを簡単に取得できること、特定のサービスプロバイダのIPアドレスの範囲が明確にわかっていることを組み合わせて、SSHデーモンをデフォルトパスワードのままで動かしているiPhoneを自動的にハックして攻撃する可能性についてはこれまでにも論じられていた。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。原文へ
関連情報
-
iPhone 2.0のファームウェアがハックされる
ハッカー団体がiPhone 2.0のファームウェアをハックし、非公式なアプリケーションのインストールやパッチなどを可能にすることに成功したと報じられた。 - iPhoneのパスコードロックをバイパスできる脆弱性
- アップルがiPhone OS 3.0のアップデートで46件のセキュリティホールを修正
- Apple
「Zero Day」 のバックナンバー
-
マイクロソフトがGoogle Chrome Frameにセキュリティホールを発見
Internet Explorerのプラグイン、Google Chrome Frameにセキュリティホールが発見された。パッチは公開済みで、自動的にアップデートされる。 -
モジラがFirefox 3.6で悪質アドオン対策を実装
-
Windows 7の脆弱性に対する攻撃コードが公開される
-
アップルはなぜWindowsのAutoRunに干渉しようとするのか
-
Safariに7件の脆弱性を修正するパッチ
- Zero Day 一覧へ »
-
POSデータを活用し、売上アップを導く「分析力」とは?
- iPhoneをビジネスで活用する時代へ〜ビジネス&モバイルのミライ〜
- HP LeftHand SAN のパフォーマンス評価
- インターネットセキュリティにおける今後の展望’09-’10
- Active Directoryの課題に関する調査結果と対処方法
- BIベンダーの選び方 −BIベンダー選定のための評価フレームワーク
- ストレージ問題の課題に対する解決方法
- CRMの限界を超える!「顧客経験価値マネジメント」実現の5段階
- ETLの進化形「データ統合」への移行戦略 −「データ統合」成功のための技術要件
- 情報系システムにRDBMSが不適切なわけ −DWH構築のための最適解
企画特集
-
100万円で実現!中小企業の情報漏えい対策
中小企業の課題!?セキュリティ管理者不在でも大丈夫 -
高まるiSCSIストレージへの注目度
ストレージシステムの4つの課題とiSCSI導入のメリット -
大丈夫?あなたの会社のセキュリティ対策
中堅・中小企業のネットワーク・セキュリティを考える -
マネジメントの「コラム」と「コネタ」
今日のキーパーソンは誰? -
企業ITシステムの企画、構築、運用のイロハ
戦略的なITシステムのために、今考えるべきポイント -
グリー、3人のエンジニアが語る仕事への想い
連載第2話、元SIerに聞くリニューアルと開発の舞台裏 -
―エン・ジャパン厳選求人☆毎週更新―
ハンゲームの社長が語る・人材とサービスの在り方 -
電力に"ふた"をする独自の省エネ機能とは!?
動的に電力割り当ても可能なHPの最新鋭ブレードに迫る -
【最終警告】パンデミック対策特集
サービス品質を保証するためのリスクマネジメントとは -
J-SOX法制定により内部統制の整備が急務に
重要性高まるActive Directoryの課題と対処法を公開中 -
VMware OEMベンダー6社を独占インタビュー
IBM、HP、NEC、DELL、日立、富士通のVMwareの取り組み -
急増するオンライン犯罪への解決策!
オンラインサービス保護ソリューション -
容量制限によるメール消去は一切無し!
全てを保存するメールセキュリティSaaSが登場
ZDNet Japan イベント
- 開催日:2009年11月26日(木)
- イベント一覧へ»
-
5. lambda関数を使って
この5分間のビデオは、並列コードをより読みやすくするために、Threaded... -
6. 既知のバグをデバッグする
この4分間のビデオは、並列プログラムエラーが疑われる既知のバグをデバ...
分かりにくいセキュリティソフトはもういらない!オールインワンで実現する中小企業の情報漏えい対策