Antisecと名乗るハッカーグループが1200万件のApple UDID(ユニーク・デバイスID)を盗み出すことに成功したと主張している。このグループはFBIのノートパソコンから入手したと称するサンプルをインターネットに公開した。ただしそのデータには1200万件ではなく100万1件のUDIDしか含まれていない。Antisecは「公開データからユーザーの住所、氏名、電話番号などの個人情報は削除した」 と主張している。
このニュースはただちに多くの疑問を呼び起こした。まずはデータの入手先だ。Appleが無造作にFBIにユーザーの個人情報を引き渡したなどということは考えられない。そもそもFBIは本当に関与しているのか? 危険な脆弱性を持つアプリあるいはデバイスが存在したのか? そしてもっとも重要な点だが、ユーザーにはどんな危険があるのか?
まず現状ではデータの入手先がFBIであるという点について証拠がない。またAntisecが公開ずみのデータ以外にさらに1100万件のデータを持っている証拠もないし、UDIDに付属した個人情報を持っているという証拠もない。もしかすると大昔に漏洩したデータを騒ぎを起こすためにこと新しく持ちだしているだけかもしれない。現在のところハッカーグループがそういった主張をしているにすぎない。公開されたデータは多数のセキュリティー専門家が分析中だ。
プライバシー上の懸念の高まりを受けて、Appleはしばらく前からデベロッパーがUDIDにアクセスすることを制限しようとしている。 2011年8月、iOS5のリリースを機にUDIDへのアクセス機能を将来は廃止すると発表した。 UDIDというのはApple製のデバイス1台ごとに割り当てられた固有のランダム英数字だ。それ以後、デベロッパーは広告やゲームその他のアプリのためにデバイスを識別する必要がある場合、もっと安全な方法をいくつも開発している。しかしIDIDの廃止は簡単には進んでいない。モバイル・マーケティング・テクノロジー企業、Fiksuの副社長Craig Palliによれば、「Appleは現在でもUDIDを利用するアプリを承認しているし、現在のiOSトラフィックも依然としてUDIDをサポートしている」という。
リーク元はどこか?
ハッカー・グループのAntisecは「3月にFBIのパソコンをハックした」と主張しているが証拠はない。UDID自体には発行時期を推測させる手がかりはない(連番などの規則性がない)。そのUDIDを割り当てられたデバイスがいつ販売されたかを知っているのはAppleだけだ。Crashyticsの共同ファウンダーで上記のUDID代替策の開発者の一人であるWayne Changは「入手元は見当がつかない」という。サードパーティーのアプリだとしたら、1200万件ものデータを集めるためには莫大な情報にアクセスできなければならなかったはずだ。あるいはトラフィックの途中で巧妙なモニタを行った可能性もある。Me’アドレスブックは現行のiOSでは保護されるようになったが、以前は保護されていなかった。平文でサーバと通信を行うアプリのトラフィックが傍受されていた可能性もある(もし傍受を行なっていたのが本当にFBIだったとすれば大問題だ)。
データサイズが実際に1200万件だったしても情報源を特定する決め手にはならない。1200万以上のユーザーを持つサービスやアプリ、ゲーム・プラットフォームは数多くある。OpenFeintはUDIDの扱いでヘマをしたことがあるが、幸いUDIDに名前や住所は関連づけられていなかった。Changは、「UDIDにプッシュ・トークンが付随しているのが奇妙だ」という。プッシュ・トークンを入手する方法は2つしかない。プッシュ・トークンを要求しユーザーが承認したそのアプリ自体からか、あるいはネットワークの途中で傍受するかのいずれかだ。もしアプリからだとすれば、そのアプリはプッシュ通知の機能を持っているはずだ。もしトラフィックの傍受だとすれば、プッシュ・トークンとUDIDを結びつける作業が必要になったはずだとChangは指摘する。
セキュリティー・コンサルタント会社NullcubeのCEO、Aldo Cortesiは以前からUDIDの状況に注意を払ってきた。Cortesiは、漏洩は起きるべくして起きたという。Cortesiによれば「UDIDは多くの会社によって収集され、何千というデータベースに保管されている。どれか一つでもリークすれば大問題になる。漏洩元がFBIかどうかについて証拠はないが、この程度のUDID情報ならゲーム会社をハックするだけで手に入る。あるいはUDIDアグレゲータでもよい」という。UDIDアグレゲータというのはデベロッパーにアナリティクス情報を提供するために多数のUDIDを集めているサービスだ。
ユーザーに対する危険性は?
一般論としてはUDIDそれ自体は大きなセキュリティー・リスクではない。UDIDが他の個人情報と結び付けられて初めてユーザーに対する危険が生じる。Changは「だからUDIDをユーザーの住所、氏名、電話番号などといっしょにスプレッドシートに保管しておくなどというのは非常に危険だ。もしユーザー名も知られているとそのユーザーのアプリに対してプッシュ通知を送ることができる。アプリはさらに住所や電話番号も記録しているかもしれない。アプリのデベロッパーは最近ますます大量のユーザー個人情報を集めようとしているから、もしAntisecがアプリを自由にできるような個人情報を持っているすれば大きなトラブルになる」と警告する。
TechCrunch寄稿者でありAppsFireの共同ファウンダーで主要なUDID代替策の開発者であるOuriel OhayonもUDIDのリークは単独では大きな問題ではないという意見だ。「AppleのUDIDは完全にランダムに生成された英数字ストリングなのでユーザーについてもデバイスについてもまったく何の情報ももたらさない」という。
しかしCortesiは次のように注意する。「もし自分のUDIDがリークされたデータのリストに入っていたら、警戒を厳重にすべきだ。私は以前この問題を調査したことがある。その際にある状況ではUDIDだけを利用してさまざまな個人情報にアクセスが可能だということを発見した。友だちリスト、位置情報、ゲーム情報、チャット相手などを知ることができただけでなく、FacebookとTwitterのアカウントを乗っ取ることさえできた。私が調べた範囲ではこうした問題はソーシャル・ゲーム・ネットワークの脆弱性のために生じていたが、他のネットワークもおそらくは同様の脆弱性を抱えていると考えるべきだろう」とCortesiは憂慮している。
残念ながら現状ではユーザーにできることは少ない。セキュリティー会社SophosのGraham Cluleyによれば自分の持っているデバイスのUDIDが公開リストに含まれているかどうか調べられるウェブサイトが開設されているという。ハッカーがさらに個人情報を漏洩させないよう祈りつつ、今後の展開に注意するしかないようだ。
[原文へ]
(翻訳:滑川海彦 Facebook Google+)