Apple's Worst Security Breach

AT&TサイトのWebアプリケーションが持っていた脆弱性が
悪用され、iPad 3Gオーナーのデータ114,000件が流出した
という記事を見たのですが、その後でSophosのPaul Duck
linのブログにあった興味深いコメントを読んでいました。

第1に、アップルはこの問題に密接な関わりがあるけれども、
彼らはiPad SIMのためにビジネス・パートナーにAT&Tと組む
ことを選んだので、アップル内部、またはiPadに機密保護違
反は存在しない。

第2に、米国内の全iPad所有者に関する個人情報が漏洩し
たことも考えられるというクレームは扇情的で到底ありそうも
ない話の上、反証が困難。従って、この侵害の結果として国
家的に重大なセキュリティリスクが起こるようには少しも思え
ない

第3に、Eメールアドレスはホワイトハウスの従業員が係った
か否かに関係なく、使用されている時は常に公的に明らか
にされているものである

第4に、データを回復した自称「ハッカー」は、彼らが外部か
ら見えるべきでないと知っていたデータを読み出す為、故意
に繰り返しAT&TのWebサイトが保持していたバグを攻撃す
ることによってこれを成し得たと主張し、それは11万4000回
にも及んでいるように見受けられる。だとすれば、それはサ
イバー犯罪であってどんなハッカーでもない

さらに、「こうした大げさなショックゴシップセキュリティニュー
スに関する問題は、まさに狼少年によって引き起こされた問
題だ」と一刀両断しています。

第1についてはあまりよく知らないのですが、コメントを読んだ
後、不安を煽る記事の対極（？）としてBruce Schnierの提唱し
ている「セキュリティシアター（人々に安心感を与えるように設
計されているものの、必ずしも安全向上につながらないセキュ
リティ対策の事）」という言葉を思い出しました。

不安や恐怖は、適切な強度や方向性を持つのであれば身を
守る役目を果たす大切な感情だと思いますが、それが本当に
その場で必要なもの（だった）かを判断し後に活かすには、や
はり学習あるのみかな・・・と思います。


■関連リンク
Apple's Worst Security Breach: 114,000 iPad Owners Exposed
BUSINESS INSEIDER SAI
Ryan Tate, Gawker
Jun. 9, 2010, 5:04 PM

アップル最悪のセキュリティブリーチ。iPad所有者11万4000人分のデータ流出
ギズモード・ジャパン

iPad / AT&T Security breach
Apple - Support - Discussions

Reuters, News Corp. And Other Mainstream Media Blow It Again
-- Pass Up iPad Security Breach Scoop They're Now All Reporting
BUSINESS INSIDER The Wire
Joe Pompeo
Jun. 10, 2010, 8:31 AM

Apple's worst security breach, or a great big hyperbole?
Paul Ducklin’s blog
Posted on June 10th, 2010 by Duck

iPad Owners Exposed
Handler's diary
Published: 2010-06-10,
Last Updated: 2010-06-10 16:26:50 UTC
by Deborah Hale (Version: 1)

iPadユーザーのメールアドレスを不正入手したハッカーが
規制薬物所持で逮捕される
Computerworld.jp
2010年06月18日

AT&T's iPad Security Breach
Schneier on Security
June 21, 2010

ブルース・シュナイアー氏が語る「セキュリティ・シアター」の功罪
Computerworld.jp
2008年03月31日

［CRYPTO-GRAM日本語版］現実世界のセキュリティ：GHB
ITpro
2004/08/27