米国時間11月2日、「あなたのiPhoneは安全でなかったのでハックされました。doiop.com/iHackedにアクセスしてあなたの電話に今すぐセキュリティ対策を!」というメッセージが、自動的に攻撃された多数のオランダに住むiPhoneユーザーの端末画面に現れた。また、このメッセージではiPhoneのセキュリティ対策についての説明と、そのメッセージを起動画面に出なくする費用として4ドル95セントを要求している。
これは、オランダの10代の若者が、T-Mobileの3G IPネットワークを対象としたポートスキャンとOSフィンガープリント取得を組み合わせて行った攻撃で、jailbreakされたiPhoneに導入された既知の脆弱性が初めて自動的に悪用されたケースだ。jailbreakされたiPhoneにインストールされているSSHデーモンには、ユーザーが修正しない限り、デフォルトで設定されているユーザーであるrootとmobileにすべて同じパスワードが設定されている。
攻撃者の要求内容は次の通りだ。後述するとおり、PayPalのアカウントが停止されてスパム広告のURLも使えなくなるにつれて、態度が変わっていく。
今はオフライン状態になっているが、サイトには次のようなメッセージが掲載されていた。
iPhoneユーザーの方へ
あなたのiPhoneは安全ではありません。このページをご覧になっているのはそれが理由ではないでしょうか。4ドル95セントをわたしのPayPalアカウントPureInfinity92@mailinator.comに振り込んでみてください。そうすればiPhoneを安全にする方法を記したとてもわかりやすい説明書をEメールでお送りします。わたしのメールアドレスはPureInfinity92@gmail.comです。
支払わないというのであればかまいません。ですが、あなたのiPhoneにアクセスするのに使った手法が何千人もの人に使われるかもしれません。何千人もの人たちが(わたしがしたのと同じように)あなたの電話番号からテキストメッセージを送ったり、電話をかけたり(あるいはあなたの通話を録音したり)できます。というよりは、やりたいことは何でもできるのです。攻撃に使うこともできます。わたしにはあなたに危害を与える意図はないことをお約束します。でも、危害を及ぼすハッカーもいるのです!あなたのお電話を安全にすることをお勧めします。それではごきげんよう!
メディアがこの話題を追うようになり、オランダでよく知られているITフォーラムでも活発に議論されるようになって、彼のPayPalアカウントは即時停止された。楽観的で倫理観に欠けるこの恐喝者は素早く態度を変え、謝罪とともにデフォルトSSHパスワードを変更する手順書を投稿した。この手順書は、もともとは有償で提供するつもりだったものだ。
この自動的な攻撃手法は、驚くべきものではない。
SSHのrootにデフォルトが設定されていること、iPhoneのOSフィンガープリントを簡単に取得できること、特定のサービスプロバイダのIPアドレスの範囲が明確にわかっていることを組み合わせて、SSHデーモンをデフォルトパスワードのままで動かしているiPhoneを自動的にハックして攻撃する可能性についてはこれまでにも論じられていた。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。原文へ