Appleは米国時間9月6日、iPhoneとAndroidスマートフォンに対する大規模なサイバー攻撃の標的がウイグル人であったと認めた。イスラム教を信仰するウイグル人は、中国政府から投獄されるなどの迫害を受けている少数民族である。
Googleの研究チームは8月29日、iOSに存在する脆弱性の情報を公表したのだが、Appleはプレスリリース(日本語版)でその一部に反論。そして、この脆弱性に対する修正パッチを公表の6カ月前に提供済みだと指摘した。
Appleによると、Googleの公表内容は「大規模な悪用」であるとの「間違った印象」を与えており、攻撃の行われた期間もGoogleが暗に示した2年ということなどなく、わずか2カ月だったそうだ。
このプレスリリースのなかでAppleは、攻撃の標的が、中国北西部の新疆で暮らす1100万人以上いるテュルク系(トルコ系諸族)少数民族のウイグル人だったとの報道と調査報告を追認した。
この攻撃は、マルウェアを埋め込んだウェブサイトを利用しており、アクセスしたユーザーのiPhoneやAndroidスマートフォンが危険にさらされてしまう。
「攻撃により影響を受けたのはウイグル族のコミュニティーに関するわずか十数件のウェブサイトでした。しかし攻撃規模にかかわらず、Appleはすべてのユーザーの安全とセキュリティについて真剣に取り組んでいます」(Appleのプレスリリース)
新疆は、世界でもっとも監視の目が厳しい地区の1つだ。中国政府は、公共の安全確保のためとして、新疆の少数民族を弾圧してきた。2017年以降、100万人を超える人々が新疆の施設に収容されて教育を施され、米国政府や国際社会が非難している。
この問題に近い人物に対する攻撃は中国から行われた、とBuzzFeed Newsに語った。
また、経緯に詳しい米連邦捜査局(FBI)の関係者は、FBIが「しばらく前から」問題を認識しており、推移を「注視」している、と述べた。さらに、FBI以外の米国の諜報機関も監視を続けているそうだ。
前出の人物によると、FBIはAppleと連絡を取り合っており、ほかのシリコンバレー企業とも定期的に情報交換しているという。ただし、FBIの広報担当者はコメントを避けた。
Appleの広報担当者にコメントを求めたが、回答は得られていない。
Googleの見解を強く非難したAppleは、指摘されている「高度な攻撃」がiPhoneに対する「全体的な」攻撃でないとした。
Googleは最終的に影響を受けたデバイスの台数を公表していないが、発表のなかで、「(ユーザーが)ハッキング済みサイトにアクセスするだけで、デバイスは攻撃用サーバーからの攻撃を受ける。攻撃が成功すると、デバイスに監視プログラムがインストールされる」と説明している。
この問題を公表したブログ記事のなかで、Googleのセキュリティ研究部門、Project Zeroに所属するイアン・ビア氏は、「問題のサイトには毎週数千人のアクセスがあると思われる」と記した。
今回の攻撃で影響を受けたデバイスの台数について、Appleは何も言及していない。
「私たちは2月に問題の脆弱性を修正しています。この状況に気づいてからわずか10日後、極めて迅速に作業を行なった結果です。Googleが私たちに連絡してきたとき、私たちはすでにこの悪用されたバグの修正作業中でした」(Appleのプレスリリース)
これに対しGoogleの広報担当者は、同社の発表に問題がないとし、「関係する脆弱性の技術的面に主眼を置いた内容」だったとした。
「Project Zeroが投稿した記事は、セキュリティに関する脆弱性の理解を深める目的の技術的な研究成果であり、防衛力の強化につながるものです。今後もAppleやその他主要企業と協力し、オンライン環境の安全性維持に貢献します」(Googleの広報担当者)
この記事は英語から翻訳・編集しました。翻訳:佐藤信彦 / 編集:BuzzFeed Japan