Anonymousに関連するあるオンラインハッカーグループが、FBIのセキュリティを侵害してAppleのUnique Device Identifier(UDID)100万件を公開したと主張している。
UDIDとは、各「iOS」端末を識別する一意の文字列で、開発者が以前、Appleのユーザーベースに対する自分のアプリケーションのインストール状況を追跡するために使用していたものである。
AntiSecは、ユーザー名、住所、通知トークンを含む、合計で1200万件以上のUDIDを、あるFBI捜査官が使用するノートPCから取得したと主張している。同ハッカーグループはPastebinへの投稿において、FBI捜査官のノートPCからデータを取得した方法について次のように説明している。
2012年3月の第2週に、FBI Regional Cyber Action TeamとFBIニューヨーク支局Evidence Response Teamに所属する監督特別捜査官Christopher K. Stangl氏が使用するノートPC「Dell Vostro」に、Java上のAtomicReferenceArrayの脆弱性を利用して侵入した。シェルセッション中に、同氏の「Desktop」フォルダから一部のファイルをダウンロードした。その中の1つである「NCFTA_iOS_devices_intel.csv」という名前のファイルは、1236万7232件のApple iOS端末のリストで、UDID、ユーザー名、端末名、端末の種類、「Apple Push Notification Service」トークン、郵便番号、携帯電話番号、住所などが含まれていた。個人情報フィールドは、リスト全体が空白のままである場合が多く見られた。同じフォルダ上の他のファイルには、このリストやその目的について記されたものはなかった。
Appleは既に、このIDに対する開発者によるアクセスの制限を開始することを述べているが、Pastebinへの投稿によると、同グループは、FBIが人の追跡といった不正目的でUDIDを使用していた疑いがあることと、一般的にUDIDの使用に抗議するために、データを公開したという。
われわれは常に、このことが非常に悪い考えだと思ってきた。端末にハードウェアコードのIDを付けるという概念は今後、市場のすべての端末から抹消されるべきである。
AntiSecは、1200万件以上のUDIDを取得したが、フルネーム、携帯電話番号、住所などの個人情報を削除して100万件のみを公開することにしたと述べている。
かなり多くのユーザーが、自分の端末がリストに掲載されていたかどうかを十分に確認できると思われる主要な項目を残した。DevTokenは、このデータセットに何らかの用途を見出す可能性のあるモバイルハッカーのために入れておいた。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス