2010/02/18

100億曲と被害100件

RustyBrick社のカウントダウンタイマー。予測では日本時間2月24日午前3時32分32秒。無料ソングでもOKなので、大量にカートに入れて順番にダウンロードさせるか。無料曲がそんなに無いが・・・そもそも、カウントタイミングは購入ボタンかダウンロード開始か。

見事当たったら10,000ドルのギフト。被害が増えているのも、人のクレジットカードでどんどんカウントしまくろうとする悪人の仕業に見える。

2chでこの議論はそれなりに続いているが、核心とおぼしきカキコは無いまま。最近までのスレをずっと読んでいて思うのは、何がどこでどういう仕組みで盗まれる可能性があるのか、あらゆる可能性に思い至るカキコに乏しいこと。Apple IDが盗まれる可能性にしても、ネトカやメアド乗り換え程度のことしか書かれておらず、この事件が2chねら~に相手にされてないか、そうでなければ本当に知らない人ばかりが書いているようである。Apple IDの流出なのかクレカ情報の流出なのかすら判明はしていないのだが、いずれにしても情報を打ち込む端末からクレジット決済までを結ぶあらゆる部分で流出の可能性はある訳で、その辺の話がもっと出て来てもいいと思う。

例えば、iPhoneを無線LANで使う場合、おおざっぱに言えば

 ・ iPhone → 無線AP → ルータ → WAN → Apple認証サーバ、決済サーバ → カード会社

という経路をたどるのであり、このあらゆる部分で流出の可能性はある。ひょっとするとiPhoneに入れた不正アプリがキーロガーかもしれないし、無線のシグナルを傍受されたかもしれないし(アメリカでは数年前に流行った)、およそルータ以降は想像もつかない経路をたどるわけである。これが3G回線ならソフトバンクも関わってくる。

今頃はエンド・トゥ・エンド間のサービス提供会社は自社の手落ちがなかったか確認するのに必死だと思うが、WANに出る前の企業が管理していない部分での流出は経路を追うのが大変だろう。昨年カード情報流出があったサウンドハウスの対応ではこの手の調査、対応がいかに大変か、またカード会社の腰の重さがつぶさにわかる同社の顛末記が公開されて大変興味深かったが、今回の事件も全貌が明らかになるよう期待したい。もちろんAppleが威信をかけて解明をリードすべきであるのは言うまでもない。

リンク:


RustyBrick、Apple iTunesの100億曲DL到達日時の予測アルゴリズム (mycom)


100億曲カウントダウン・プロモーション (Apple)


iTunesで不正請求被害 アップル社、ID流出否定 (asahi.com)


iTunes不当請求100件 被害の全容聴取へ (asahi.com)


消費者庁、iTunes株式会社に対する照会文書をWeb公開 (mycom)


音楽情報サイトの利用者が心当たりのない利用代金の請求を受ける事例の発生について [pdf] (消費者庁)