カリフォルニア州で、サイバーセキュリティ研究者とその友人が、Appleから約250万ドルを不正に得たとして起訴されました。ノア・ロスキン=フラジーとキース・ラテリは、第三者の契約業者を通じてAppleのシステムにアクセスし、ギフトカードとハードウェアをそれぞれ250万ドルと10万ドル相当注文した後、盗んだ商品を第三者に販売し、Appleと顧客サポート業者を詐欺しました。この事件は、2018年12月から2019年3月にかけて発生しました。
ロスキン=フラジーとラテリは、契約業者のシステムにアクセスするために、特定のアカウントのパスワードリセットツールを使用しました。その後、彼らはそのアカウントを利用して、VPNサーバーへの認証情報を持つ他のスタッフアカウントの認証情報を探し出しました。VPNを介して顧客サポート業者のリモートデスクトップソフトウェアに接続し、インドとコスタリカにある業者のコンピュータを操作しました。これらのコンピュータは、AppleのApp Store Connectにアクセスするために使用されました。ロスキン=フラジーとラテリは、偽名とメールアドレスを使用してAppleから二十数件の注文を行い、Toolboxを使用して注文内容を操作しました。
2023年12月のセキュリティアップデートで、Appleはロスキン=フラジーと彼の同僚「Prof. J.」がmacOS Venturaに影響するバグを報告したことを認めました。このバグは、アプリがユーザーの連絡先データにアクセスできる可能性があるというものでした。また、ロスキン=フラジーは、iOSとiPadOSに影響するサービス拒否の脆弱性を発見したことも単独で認められています。彼は正式なセキュリティ研究者として認識され、過去にはISACAのDigital Trust World Europe Conferenceなどの会議で講演を行っていました。
【ニュース解説】
カリフォルニア州で、サイバーセキュリティ研究者とその友人が、Appleから約250万ドルを不正に得たとして起訴された事件が発生しました。この事件は、第三者の契約業者を通じてAppleのシステムにアクセスし、ギフトカードとハードウェアをそれぞれ250万ドルと10万ドル相当注文した後、盗んだ商品を第三者に販売し、Appleと顧客サポート業者を詐欺したものです。この詐欺行為は2018年12月から2019年3月にかけて行われました。
この事件の背景には、複数の技術的手法が使われています。まず、被告たちは特定のアカウントのパスワードリセットツールを使用して契約業者のシステムにアクセスしました。その後、VPNサーバーへの認証情報を持つ他のスタッフアカウントの認証情報を探し出し、これを利用して顧客サポート業者のリモートデスクトップソフトウェアに接続しました。インドとコスタリカにある業者のコンピュータを操作し、これらのコンピュータを使用してAppleのApp Store Connectにアクセスしました。そして、Toolboxを使用して注文内容を操作し、不正な注文を行いました。
この事件は、サイバーセキュリティの専門家であっても犯罪に手を染める可能性があることを示しています。また、企業のセキュリティシステムには、外部の契約業者を通じたアクセスも含め、常に潜在的な脆弱性が存在することを浮き彫りにしています。このような事件は、企業が自社のセキュリティ対策を再評価し、第三者業者との関係においてもセキュリティ基準を厳格に適用する必要があることを示唆しています。
一方で、この事件の中で注目すべき点は、ロスキン=フラジーが過去にAppleのセキュリティに関する貢献を認められていたことです。彼は、macOS Venturaに影響するバグやiOSとiPadOSに影響するサービス拒否の脆弱性を発見し、報告していました。このように、セキュリティ研究者が正当な研究活動を行いながらも、犯罪行為に関与するという矛盾した行動は、セキュリティコミュニティ内での倫理観や行動基準に関する議論を呼び起こす可能性があります。
最終的に、この事件は、セキュリティ研究の重要性と、それを行う個人の倫理的責任のバランスを見つけることの難しさを浮き彫りにしています。また、企業は内部だけでなく、外部の契約業者に対してもセキュリティ対策を強化し、定期的な監査を行うことで、このような不正行為を未然に防ぐことが求められます。
from Cybercrime duo accused of picking $2.5M from Apple's orchard.
