NBCニュースによると、ハッカー集団Antisecが先週公開した100万件のユニークデバイスID（UDID）、すなわち個々のiOSデバイスに対応する固有のコードが、同集団の主張通りFBIのラップトップからではなく、モバイルアプリ発行会社のサーバーから盗まれた可能性が高いという。Antiecがこれまでに公開したデータの分析によると、この情報はフロリダ州のアプリ発行会社Blue Toadから「過去2週間」に盗まれた可能性が高い。

外部のセキュリティ研究者であるDavid Schuetz氏は、Blue Toadのリストに多数のBlue Toad社内UDIDが含まれていることを発見し、Blue ToadとUDIDデータの関連性に初めて気付きました。彼はBlue Toadに連絡を取り、Blue Toadはその後まもなく独自の分析を実施しました。その結果、漏洩したUDIDとBlue Toad独自のUDIDデータベースの間には98%の相関関係があることが判明しました。また、別のセキュリティ監査では、同社のサーバーが過去2週間に侵入されていたことが明らかになりました。

「これは100%の信頼度です。これは私たちのデータです」と、ブルー・トードのCEO、ポール・デハート氏はNBCニュースに語った。「私たちが関与し、被害を受けたことが判明した直後、適切な法執行機関に連絡し、名乗り出て記録を清算し、責任を取るための措置を講じ始めました。」

ハッカー集団Antisecは9月3日、100万件のUDIDを公開し、さらに1100万件のUDIDとそれに対応する個人情報を保有していると発表した。同集団は、これらのデータは2012年3月にJavaの脆弱性を利用してFBIのノートパソコンから取得されたと主張した。

FBIは翌日、Antisecの主張を否定した。FBIはiOS UDIDを保有しておらず、保有しようともしていないと述べた。また、Antisecが述べた期間内にFBIのラップトップが侵害されたという証拠はないと主張した。

しかし、デハート氏がNBC ニュースに対して認めたことで、少なくともこの情報はブルー・トード社から発信されたものとみられる。ただし、デハート氏は、このデータが同社のサーバーから盗まれた後、最終的に FBI に入手された可能性も否定できないと述べた。

UDIDはすべてのiOSデバイスにリンクされており、それ自体は比較的無害ですが、他のユーザー情報と組み合わせると深刻なプライバシーとセキュリティ上の懸念が生じる可能性があります。そのため、Appleは今年初め、iOS開発者に対し、アプリにおけるUDIDの使用と保存を段階的に廃止するよう義務付け始めました。

こうした努力にもかかわらず、何百万台ものiOSデバイスやアプリ、特に最新のソフトウェアを搭載していないものは依然としてUDIDを使用・保存しており、ユーザーのプライバシーを危険にさらしています。何千ものアプリ開発者のアプリ作成・公開を支援するBlue Toadが、これほど多くのUDIDを保有するようになったのは、まさにこのためです。

デハート氏は、アンティセックが公開したデータには重要な個人情報が含まれていなかったため、ユーザーは過度に心配する必要はないと述べた。

iOSユーザーの皆様には、デバイスのデータを整理したり、アプリを削除したり、削除したりする必要があると申し上げたくはありません。これらのサイトのいずれかで、ご自身のUDIDがデータベースダンプに含まれているかどうかを確認してください。  もし含まれていたら、ご自身の判断で適切な判断を下してください。  …現時点でできる最善の策の一つは、アップグレード可能なアプリがあれば、アップグレードすることです。

セキュリティ研究者のアルド・コルテシ氏は、デハート氏の状況の深刻さに関する分析に異議を唱えた。コルテシ氏は長年UDIDの使用に反対しており、過去にはUDIDを使ってiOSユーザーのゲームアカウント、連絡先リスト、ソーシャルメディアアカウントをハッキングし、自らの立場を証明したことがある。コルテシ氏はNBCニュースに対し、次のように説明した。

懸念されるのは、私が説明したようなUDID関連の問題が実際に存在する可能性があるということです。何百万ものUDIDを保有する何者かによって、それが大規模に悪用される可能性があります。私がアクセスできた情報は、例えば詐欺師や個人情報窃盗犯にとって非常に貴重なものだったでしょう。AntisecやAnonymousのような悪意ある組織が存在する限り、ユーザーの個人情報が、ただ面白半分に大量に公開されることさえ想像できます。その影響がどの程度になるかは、まだ完全には分かりません。

自分のiDeviceのUDIDが気になるユーザーは、The Next Web が作成したウェブツールを使って、漏洩したデータベースと照合することができます。しかし、もし自分のUDIDがリストに載っていたとしても、対処できる手段は限られています。UDIDはデバイスに恒久的にリンクされており、変更することはできません。

ただし、すべてのユーザーは、デバイスに最新のAppleファームウェアとソフトウェアアップデートが適用されていること、そしてすべてのアプリが最新バージョンにアップデートされていることを確認する必要があります。そうすることで、将来のUDID侵害に個人を特定できる情報が含まれる可能性を低減できます。

ブルー・トードについては、デハート氏は刑事捜査中のため詳細は明らかにできないとしながらも、同社としては事態を遺憾に思うと述べた。「これが最終的にどれほどの影響を与えるか、全く予想していませんでした。この情報の安全確保を当社に託してくださった方々には、深くお詫び申し上げます。」

ティーザーグラフィックはShutterstockより。