hankyoreh

俳優ジェニファー・ローレンス

　私は俳優ジェニファー・ローレンスが一体誰なのか、モデルのケイト・アプトンが誰かも知りませんでした。写真を探して見てみても、誰なのかよく分からなかったんです。 あ、今回ハッキングで流出したヌード写真を見たというわけじゃなく、ポータルサイトでプロフィール写真を探して見たという意味です。

　とにかくiPhoneで撮影した写真などを自動的に保存できるアップルのクラウド サービス iCloudが奪われ、アメリカのトップスター101人のヌード写真などが流出して騒ぎになっています。とはいえ韓国で“信頼度・閲読率1位”のハンギョレ新聞の記者なので読者の皆さんには親切でなければと言っても、どうすればトップスターの写真を手に入れられるかを案内することはできません。今回の事件を契機に今や日常化されたクラウドサービスのセキュリティーに対する専門家たちの意見を聴いてみました。

　アップルの公式発表内容と外信報道などを総合すると、今回の事件はハッカーが有名芸能人のiCloudのIDとパスワードを盗用して写真を盗んだものと見られます。 アップルは2日(現地時間)に報道資料を出したんですが、約40時間にわたり調査したところ、IDとパスワード、セキュリティー質問に集中した攻撃をかけ一部有名人のアカウントが盗用されたということです。そして、こうした攻撃はインターネットの世界では珍しいことではないと付け加えています。それと同時に、アップルのシステムに穴があけられこのようなことが起こったのではないという点を強調したのです。こんな類いの攻撃に遭わないために、パスワードをさらに複雑なものに変えて、二段階の本人認証手続きを選択するよう顧客に勧告することで報道資料を締めくくっています。

　個人的には、この報道資料を読んで相当なカルチャーショックを受けました。アップルの報道資料には、申し訳ないとか、それと似た表現はただの一言も入っていません。韓国の企業ならばどうだったでしょう。一旦は「ご心配をおかけして申し訳ありません」で始めて「原因を徹底的に把握して、二度とこのようなことが起きないよう最善を尽くします」と書きそうです。 アップルの態度は、顧客、それも最高の弁護士を雇っているトップスター顧客たちの予想される訴訟を念頭に置いたものかも知りません。中途半端に申し訳ないと言って、会社の責任を認めたように映っては困ったことになるのかもしれません。

　インターネットでは珍しくない攻撃だが、システムに穴があけられたのではないというのはどういう意味でしょうか? ここで言っている攻撃を専門用語では「ブルート・フォース(brute force)」攻撃と呼ぶそうです。まず攻撃対象人物が使っているソーシャル・ネットワーキング・サービス（SNS）のアカウントやメールアドレス等を通してIDを推定することができます。IDを推定した後に、パスワードを無作為に入れてみるプログラムを動かすのです。数億回のトライアルの末に合致するパスワードが見つかれば、他人のIDでログインできます。サーバーの防御網を突き抜けて入り込み情報を奪取するのではなく、偶然を狙う単純労働に近いので“ハッキング”とは看做されないのだと言います。

　それでは韓国の多様なクラウドサービスはこのような攻撃に対して安全なのでしょうか? あるポータル業者の関係者は「韓国ではかなり以前からブルート・フォース攻撃が頻繁に試みられた。そのために多くのサイトでは5回以上誤ったパスワードが入力されれば該当IDをロックしてしまう。これ以上ログインを試みられないように遮断してしまう。別途の本人確認手順を踏んでから再びIDを使えるようにロックを解除する」と話しました。こういう説明を聞けば多少は安心になります。

　しかし、韓国にはまた別の心配事があります。金融機関や通信社などで相次いで起きた大規模個人情報流出事件の話です。匿名を希望するある大企業系列のシステム運用会社の関係者はこのように言っています。

「韓国国民、数百万から数千万人の名簿、住民登録番号、ID、携帯電話番号、住所などが流出して歩き回っている。この情報を利用したアカウント盗用の試みが絶えず起きている。以前のように無作為にパスワードを入れてみる方法ではないため、ログインを試みた回数などを制限しても防げるわけではない。アカウント盗用事故は今後もずっと起きるだろう」

1990年代から20年近く『ハンギョレ』で情報技術・通信分野を担当したキム・ジェソプ記者の言葉が正解に最も近いようです。

「世の中に穴をあけられないサービスがどこにある? 流出してもかまわない情報だけを上げて下さい!」