Oligur

• ニュース

ハッカーグループがAppleのDev Centerに脆弱性を発見しました。この脆弱性により、サイトはフィッシング詐欺の標的となり得ます。Appleが早急に修正を行わなければ、ユーザーは知らないうちに悪意のあるウェブサイトにリダイレクトされ、認証情報を盗まれてしまう可能性があります。

AppleのDev Centerは、登録開発者が最新のiOSベータ版やMac OS Xのプレリリース版ソフトウェア、そして開発に役立つ豊富な情報を入手できるウェブサイトです。しかし、このウェブサイトは訪問者にとって危険な可能性があります。

YGN倫理ハッカーグループは、サイトに脆弱性を発見しました。この脆弱性により、攻撃者はDev Centerの訪問者を悪意のあるウェブサイトに「リダイレクト」し、個人情報を盗み取ろうとする可能性があります。同グループは4月25日にAppleにこの脆弱性について報告し、Appleは4月27日に情報受領を認め、「潜在的なセキュリティ問題の報告を非常に深刻に受け止めています」と声明を発表しました。

しかし、今のところ、Apple 社は同グループが発見した主なセキュリティホールをまだ修正していないと考えられている。

Macworld は、この脆弱性が Apple の Dev Center にアクセスする開発者にとっていかに危険であるかを次のように説明しています。

同グループによると、「developer.apple.com の脆弱なコード部分」に関連する具体的な脆弱性は、「信頼できないサイトへの URL リダイレクト（『オープンリダイレクト』）」と呼ばれています。これは、Mitre の「Common Weakness Enumeration（共通脆弱性列挙）」のデータ定義で次のように説明されています。「悪意のあるサイトへの URL 値を改変することで、攻撃者はフィッシング詐欺を仕掛け、ユーザーの認証情報を盗み出すことができます。改変されたリンクのサーバー名は元のサイトと同一であるため、フィッシング攻撃はより信頼できるものに見える可能性があります。」

Mitre の URL リダイレクトの定義では、「ユーザーが知らないうちに攻撃者の Web ページに資格情報を入力する」ことでユーザーの機密情報が危険にさらされる可能性があるため、攻撃を許す可能性があるとされています。

この欠陥を発見したグループはミャンマーを拠点としており、発見した脆弱性が違法なハッキングに利用されることを望んでいないと主張している。彼らはむしろ、ウェブサイトが発見内容を把握し、AppleのDev Centerで発生したような問題を修正できるようセキュリティを強化することを望んでいる。

この脆弱性が今後数日以内に解決されない場合、同グループは「Full Disclosure セキュリティ メーリング リスト」を通じて Apple の Dev Center の 3 つの特定の問題に関する情報を公開し、Apple が速やかに修正に取り組むよう説得する予定だ。

これらの「問題」には、任意の URL リダイレクト、クロスサイト スクリプティング、HTTP 応答分割が含まれており、「根本原因」は任意の URL リダイレクトです。

YGNは3月にセキュリティ企業マカフィーのウェブサイトに脆弱性を発見しましたが、同社からの対応に満足していませんでした。しかし、情報を公開した後、マカフィーは問題を認め、解決しました。Appleにも同様の対応を期待しましょう。