米国 Apple の開発者サイトが、不正侵入のためオフラインとなっている。同社によれば、不正侵入は7月18日に発生したという。

「先週の金曜日、侵入者が我々の開発者 Web サイトから登録開発者の個人情報を入手しようとする企てが認められた。慎重に扱うべき個人情報は暗号化されており、アクセスされることはないが、開発者の名前、住所、E メールアドレスがアクセスされた可能性を排除することはできない」

Apple は現在、再発を防止するため、システムとセキュリティ手順の全面的な見直しを実施している。

セキュリティ研究者 Ibrahim Balic 氏は、今回の侵入を行ったのは自分であると主張。YouTube の動画で同氏が Apple 開発者サイトから入手したとする個人情報の一部を公開した。動画は現在は削除されている。

Apple の開発者サイトに不正侵入 ― セキュリティ研究者 Ibrahim Balic 氏による"犯行"か?
YouTube 動画を削除したことを伝える Balic 氏の投稿

Sophos のセキュリティ研究者 Chester Wisniewski 氏は InternetNews.com に対し、Apple の開発者サイトがハッキングされたことに驚いたと述べた。

「Apple は、業界でも最高レベルのセキュリティを持つ企業の1つだ。私の要注意リストに、Apple の開発者サイトは入っていなかった」

Wisniewski 氏は、Apple 開発者サイトの脆弱性を YouTube で公開した Ibrahim Balic 氏のやり方には批判的だ。

「意図がどうであれ、Balic 氏のやったことは重大な犯罪行為だ。銀行を襲い、略奪品をビデオで撮影しながら『わかったか!この銀行には、侵入を許す脆弱性がある』と言う人はいない。そんなことをしたら、ただでは済まされない」

Tripwire のセキュリティ研究者である Ken Westin 氏は InternetNews.com に対し、脆弱性は開発者データへの侵入を許したが、Apple ユーザーデータへの侵入は許していない点に触れた。だが、開発者の個人情報がどの程度保護されているのかは疑問だという。

「開発者のユーザー名とパスワードは、開発者ポータルと iTunes アカウントで共有されているので、開発者はパスワードを変更した方がよいだろう。慎重に取り扱うべきデータは暗号化されているとのことだが、どの情報が暗号化されていたのかはわからない。Apple は、現時点では多くの情報を提供していない」

Wisniewski 氏は、登録開発者はどのレベルまでの個人情報を Apple に伝えるべきか、再考すべきだと述べている。

「その企業が信頼できるか否かにかかわらず、不要な個人情報は伝えるべきではない。私は Apple の登録開発者ではないので、住所まで登録しなければならない理由はよくわからないが、一般的には住所などの実生活に関わる情報は、伝えるべきではないだろう」

Sean Michael Kerner
Sean Michael Kerner は、InternetNews.com の主任編集者。