最近、中国版TwitterのWeibo(微博)上で、@美国往事1999というユーザが、去る3月1日にとあるAppleの公式テクニカルサポートスタッフ(スペシャリストのこと?以下技術顧問)が不法に彼のApple ID(iCloud)の個人情報を盗み取り、そしてそれをもとに脅迫をした、として情報を公開しました。
この事件については中国のネット界隈で騒ぎとなり、多くの人がApple中国の従業員のモラルについて、そしてAppleのユーザのプライバシー保護への体制や態度について、またちょうどiCloudのサーバが中国国内企業のGCBD(雲上貴州)に移管されて初日に発生した事件だったためにGCBD情報管理体制について、疑問を投げかけていました。それから数日たった3月8日、Appleはとうとうこの事件について、公式に声明を発表するに至りましたが、事件は全容解明には至っていません。
この事件が果たしてAppleのiCloudが中国国内企業のGCBD(雲上貴州)に情報が移管された中国だからこそ発生したのか、或いは同様のことが日本の我々にも発生しうるのか、ちょっと気になりますよね。そのWeiboユーザが事件の発生と経過についてまとめてヘッドラインニュースとして公開していて、319万人以上が閲覧し大量のコメントがついている事態になっています。
日本ではまだこの件について報道されていないようなので、まずはこの事件について、どのような経過を辿ったのか、振り返ってみたいと思います。
事件の発生と経過
最初はユーザのAppleへの問い合わせ電話から始まった
まず最初に、この@美国往事1999というユーザが3月1日、Appleのサポートセンターに、iCloudのデータが中国国内企業GCBD(雲上貴州)に移管されることについて問い合わせをしたということです(その3月1日がちょうど、GCBDに移管された当日でした)。その時にかけた電話番号はApple中国の公式サポートの電話番号、4006668800でした。
そしてサポートセンターで電話を受けたスタッフが、その電話を”技術顧問(テクニカルシニアスタッフ?)”に繋いだのですが、その技術顧問の態度がよくなかったので、元の人に電話を戻すように言ったところ、このユーザとその技術顧問の間で口論となり、そして電話を切ったということです。
電話を回されて口論となった相手の技術顧問から嫌がらせ行為。。そして更に事件は思わぬ方向へ
その後技術顧問がまずサポートの電話番号を使ってユーザに電話をかけてきて罵るなどのハラスメント行為をしたそうです。ユーザはそれで終わったかと思ったのですが、実はそれが事件の始まりだったのです。。
技術顧問からプライベートで連絡、個人情報が盗み取られ、脅迫される
なんとその技術顧問は、その後更にプライベートの電話番号(陝西省西安市に所属する携帯電話番号)からユーザに電話をかけてきて、自分が先ほどの技術顧問であること、そしてその職位を利用して、そのユーザのiCloudの中の個人情報をゲットした、登録してある3つのメールアドレスにメールをして、その中にQQ(チャットアプリ)の番号があるので、それを1時間以内に追加しろ、追加しなければお前の個人情報を全部暴露してやる、それから今後Appleのデバイス、iPhoneやMacを使うなよ、死ぬほどのことはないかもしれないが、生活や仕事などには不便になるぞ、などと脅してきたというのです。
ユーザは技術顧問からの電話の音声内容を録音していた
そのユーザはその技術顧問の上記の脅迫内容の音声を全て録音していました。ここで公開されていますが、全て中国語ですので、わかる方のみ聞いてみてください。中国語がわからない方のために。。ユーザは電話の中で、あなたの名前は?とかこれは脅迫ですよね、と何度も相手の技術顧問に確認していますが、技術顧問は俺の言うことを聞け、と言いたいことを一方的に喋っている感じです。
実際に技術顧問から脅迫メールが届き、メールアドレスのパスワードも変更される
その電話が終わった後、そのユーザは、相手に自分のアドレスを教えたことはなかったにも関わらず、自分のApple ID(iCloud)に登録している3つのメールアドレス全てに、その技術顧問から脅迫のメールが送られてきています。しかも、Hotmailのパスワードが書き換えられていてログインできなくなっていて、パスワード再発行手続きを経てようやくログインできたというのです。
▼Hotmailのパスワードが変更されたメールが届いていた
ユーザはHotmailには長い間ログインしておらず、パスワードを変更した覚えがないそうです。
▼技術顧問を名乗る男からのメールのスクリーンショット
訳してみると、、
俺が誰だかわかるか?お前はもう本当に終わりかもしれないぞ、俺はお前のIDと資料を全部シェアしてやる。もし俺と話したいならこのQQを追加しろ。俺はお前に中国でログインしたくなくなるようにしてやる、ハハハ。
これで相手のQQを追加すると自分のQQも相手にわかってしまいますので、危険です。というのもQQは様々なログインサービスと関連付けられていて、更にIDとパスワードが暗黒マーケットで売られているからです。。その後ユーザがQQを追加したかどうかについてはわかりません。
iCloudに身に覚えのないログインがあり、Appleから通知が来ていた
そしてApple公式からも、ある人がApple IDを使ってiCloudにログインしたことが、通知メールとして届いたため、その技術顧問が間違いなくユーザのアカウントにログインして個人情報を引き出したことがわかった、というのです。
▼ユーザが中国のApple IDに3つのメールアドレスを登録していたことがわかる証拠のスクリーンショット
▼Apple公式からのiCloudへのログイン通知
Appleは対応を拒否したため、ユーザは警察に通報
そこでユーザはこの件についてAppleと何度も連絡を取ったのですが、逆にプライバシーに関わる問題なので、という理由で何度も対応を拒否されたため、やむなく警察に通報することに決めたということです。
Appleから1回目の返事、ユーザは納得いかず
果たして、ユーザが警察に通報しつつAppleと連絡を取った結果、数日後Appleから、その技術顧問は既にクビにした、またユーザのアカウントは厳重に暗号化されており、一般の従業員には見られないようになっている、その技術顧問はAppleではなく、何らかの第三者による方法で個人情報を得たのではないか、しかし現在その技術顧問は既にAppleの人間ではないので、その技術顧問の情報について教えるわけにはいかない、という回答を得られたというのです。
しかしこの回答に対して、ユーザは受け入れられないとしています。まずAppleに対して、その技術顧問について更に詳しい情報を出すように、また自らのiCloudのデータがどれだけその技術顧問に漏れたのかを明らかにせよ、と要求しました。
事件について、2点の指摘
少々中断しますが、この件については以下の2点の指摘ができると思われます。
- このユーザが、このことがiCloudのデータがGCBD(雲上貴州)に移管されて初日(3月1日)に起こったことと書いたことから、ネット上ではGCBDとこの事件を結びつけるような論調が目立ちましたが、実際この事件は直接的にはユーザとこのAppleの従業員で技術顧問とされる人物との間に起こったことのため、その後そのユーザが疑問を持ったのはAppleの従業員の権限とApple社のこの事件に対する態度であって、GCBDとは直接関係ないことを認めています。ただし、関係が全くないかどうかについては今でも明らかではありません。
- Apple IDは2ファクタ認証機能をオンにすると、基本的にはユーザが登録したデバイスでのみApple IDにアクセス可能となります。違うデバイスでApple IDにアクセスした場合は、パスワード以外に、信頼したデバイスにおいて6桁の認証パスコードが表示されるはずで、それがないと本来はアクセスできないはずです。ということはこのユーザは2ファクタ認証をオンにしておらず、そのため技術顧問に侵入された可能性があり、このユーザもちょっとセキュリティ意識が低かった可能性があります。逆にユーザが2ファクタ認証をオンにしていてこのようなことが起こったのであれば、技術顧問は何らかの方法でその2ファクタ認証を回避してユーザのApple IDやiCloudにアクセスできたことになります。
Appleが3月8日、公式に声明を発表。事件に対処する姿勢を初めて見せる
そしてこの件について、Appleが3月8日午後に声明を発表しました。
Appleの技術顧問は誰一人としてユーザのパスワード・E-mailの内容及び写真などのデータにアクセスする権限を有していません。今回の事件について、Appleはそのユーザと共に調査に当たる予定で、Appleの従業員と外部委託先(外注先)のグループが、お客様との連絡や交流での厳格な基準を遵守することを確保します。
技術顧問がどうやってiCloudにアクセスできたのかは疑問が残る
Appleの技術顧問といえども、ユーザのいう個人情報や資料・データにはアクセスできないはずです。関連メディアの情報によれば、その技術顧問はやはりユーザのApple ID(メールアドレス)を調べる権利はありますが、その内容について見る権限はないはずだということです。では、その技術顧問はどうやって3つのメールアドレスを調べることができたのでしょう?今のところそれについては誰もわかりません。
Apple中国は初期対応を失敗して警察沙汰になった可能性が高い
そのユーザによれば、Appleは完全にその技術顧問個人のせいにして、その人をクビにし、そして後はAppleはユーザのプライバシーには充分気をつけているので信用して欲しい、とそのユーザに信用を強制しているような節があったとしています。その対応が、ユーザのAppleに対する猜疑心を更に強くしたとみられます。Appleはまず事件に対する初期対応で失敗し、ユーザの満足を得られなかったことから、警察沙汰になったといえるでしょう。
Appleはカスタマーサポートを外注、外注先の管理がまずかった可能性も
一つ大事なことは、Appleの声明の中で、Appleはカスタマーサポートを外注していることを認めていることです。ということは、その技術顧問はいわゆる提携先の会社の社員であった可能性があり、Apple社内は管理できても、外部委託先までの管理はなかなか難しく、一般的に問題はそのような外注先で発生する確率が高いといえます。
Appleには徹底的な調査が求められる
また上記の通り、技術顧問から脅迫を受けたユーザは既に警察に通報していることから、Appleは警察と共にこの件について調査に当たるとみられます。ユーザは上述の通り技術顧問の脅迫音声を録音しており、またメールなどの証拠も残っていることから、警察もAppleもおざなりな対応はできないと思われます。そしてAppleにとって、FBIの要求さえ蹴ってでも常にユーザのプライバシー保護を第一に考えているというイメージからして、内部からこんなことが起こっては全てが台無しです。Appleは誰もが納得するような回答を出せるように、徹底的に調査する必要があるといえるでしょう。
今後どのような調査結果が出るのか、当ブログとしても見守っていきたいと思います。もちろん、美国往事1999というユーザの自作自演だったなんてオチではないことを祈ります。。笑
記事は以上です。