9月5日、「アップルの顧客情報1200万件がハッカー集団によって盗み出され、流出する」というニュースが全世界を流れました。[*1] 犯行声明を出したのはハッカー集団「アノニマス」の関連組織「アンチセック」。ハッカー集団は何を目的として顧客情報を盗み出したのか。アップルユーザーはこのようなハッキングに対して自衛する手段はないのか。今回はアップルのハッキング問題を考えます。

◆アップル固有端末IDの流出から見えてくるスマホのプライバシー問題

――今回の事件は全国新聞やテレビニュースでも大きく報じられました。やはり、1200万件というとてつもない数字であることや、絶好調のアップルがやらかしたのか？ というインパクトで話題を集めたのでしょうか。

津田：そうですね。ただ、この問題を報じるニュースの見出しには若干の違和感を持ちました。例えば、NHKニュースの見出しは「アップル顧客情報 1200万件流出か」[*2] 、読売新聞の見出しは「アップル1200万台分、個人情報流出か」[*3] 、スポーツニッポンの見出しは「アップル顧客情報流出か ハッカー集団1200万件入手」[*4] など。ストレートに読むと「アップルの顧客情報が（何らかの不手際で）漏れた」と読めるようなものが多かったですね。今回の場合、少なくともアップルが自ら管理している顧客情報の管理が杜撰だったから漏れた、というわけではありません。その意味では朝日新聞の見出し「アップル端末ID『1200万件流出』アノニマス系団体」[*5] がもっとも的確にこのニュースを伝えていたと思います。

――顧客情報が漏れたわけではないんですか？ しかし、「端末ID」と言っても一般の人にはわからない気もしますが……。

津田：そうですね。わかりにくい話だったので見出しはざっくりと「顧客情報」とした、ということなんだとは思います。では、アンチセックは今回一体どんな情報を盗み出したのかというと、アップルがiOSの機能の一部として提供していた「UDID（Unique Device IDentifier）」という固有の端末識別番号なんですね。これは、iPhoneだけでなく、iPadやiPod touchなどすべてのiOSデバイスのそれぞれに固有で、重複しないようになっています。ざっくりといえば、デジタルで識別できる製品のシリアルナンバーみたいなものですね。あ、ただ、通常のシリアルナンバーは連番で割り振られていきますが、UDIDの場合、数値や文字列はランダムになります。

――なるほど。今回はそのUDIDをアンチセックたちが盗み出したと。アップルのサーバーをハッキングして盗み出したのでしょうか。

津田：違います。当初アンチセックは「FBIのエージェントが使用するノートパソコンから盗み出した」という犯行声明を出していました。[*6] FBIが何らかの形でアップルから顧客情報を入手し、それを国民の監視目的で使っているのではないか、と示唆していたわけですね。ただ、ここで重要なのはUDIDの使い道です。アップルは自社の製品にUDIDを割り当ててはいますが、「顧客情報」としては管理していません。同社が管理している顧客情報はiTunes Storeやアップルのサービスを利用する際に必要な「Apple ID」とそのパスワードです。この犯行声明を受けアップルは「FBIがアップルに対し、このような情報の提供を求めたことはなく、われわれもまたFBIやその他のいかなる組織にもそのような情報を提供したことはない」とする声明を発表し、[*7] FBIも「FBIのノートパソコンが侵害され、Apple UDIDに関する個人情報が暴露されたとする記事が報道されたことを認識してる。現時点でFBIのノートパソコンが侵害されたこと、あるいはFBIがこのデータを探索あるいは入手したことを示す証拠はいずれも存在しない」とすぐにその事実を否定しました。[*8]

――根本的な話として、UDIDが漏れると我々のどんな個人情報が脅かされるのでしょう？

津田：UDIDそのものは、単なるデバイスに割り当てられた固有の端末番号なので、その一覧が漏れただけなら問題はありません。UDIDだけでは、使っている個人を特定することはできないですから。問題となるのはUDIDがほかの情報と紐付けられて利用されることですね。UDIDとほかの情報が組み合わされることで個人情報が悪用されるリスクが生まれる。アンチセックは犯行声明を出した際、「自分たちが盗み出したデータは、UDIDだけでなく、ユーザーの名前や住所、郵便番号、携帯電話番号なども含まれており、公開データからはそうした個人を特定するデータは削除した」と主張しました。[*9]

――それが本当だとすると、なぜそのようなことが？

津田：結論から先にいうと、今回の一件ではUDID以外の個人情報は漏れていないようです。それはあとで述べるとして、可能性としてアンチセックが主張していたような事態が想定されたので、ここまで大事になったんですね。その背景には、アップルがiOSで動くアプリの開発会社向けにUDIDを取得できる機能（API）を提供していたことがあります。そうすると何が起きる可能性があるか。例えば、開発会社が提供するウェブサービスをユーザーが利用する際、氏名や住所、電話番号といった個人情報を入力させ、その顧客データと、登録時に取得したUDIDを紐付けて1つのデータとして管理したとします。そして、管理者がザルでそのデータのセキュリティが甘くて盗み出されてしまったら、アンチセックが主張していたような何百万件の顧客情報漏洩が現実のものになるわけです。

――それは怖いですね……。でも、なぜアプリ開発会社はUDIDを取得できるようになっていたんですか。

津田：いくつかの目的があります。1つはモバイル広告をトラッキングする際、ユーザーを識別するために使われました。もう1つは、取得したUDIDをユーザーのログインパスワードの代わりに使っていたケースもあるようです。完全に同じというわけではありませんが、ガラケーのウェブ向けサービスで一度登録すると、パスワードを入力せず、1クリックだけでログインできる「かんたんログイン」サービスがありますが、あれも携帯電話端末に固有に割り当てられている「契約者固有ID」というものを認証に使っていました。[*10] あれに近いイメージだと思えばわかりやすいかと思いますが、これはセキュリティ面で脆弱な利用法で、こうした利用法には批判の声もありました。

――アップルは2011年8月、iOS5のBeta 5が配布されたときの文書内に、UDIDにアクセスするAPIが「depricated（利用不可）」と記載し、将来的にUDIDを無効にする予定を発表しました。[*11] これはそうしたアプリのセキュリティやプライバシー意識の高まりが原因なんでしょうか。

津田：その文書が発表された後も、実際は猶予期間として機能そのものは使えました。ただ、後にUDIDにアクセスするアプリケーションは、AppStoreの審査でリジェクトされるようになったようです。[*12] アップルはこの決定について、理由を明らかにはしていませんが、UDIDをサービスの認証に使うセキュリティ的に脆弱なサービスやアプリの存在が問題となったことが引き金になったみたいですね。

――具体的にはどんなサービスやアプリなんでしょう？

津田：これもいろいろな説がありますが、1つはJailbreak [*13] 関連の問題です。Jailbreakとは、ざっくりいえば「iPhoneのOSを改造することで、サポートされてないさまざまな機能を利用できるようにすること」ということです。通常利用するiPhoneのUDIDは固有の番号で、ほかのiPhoneとは番号がかぶらないようになっていますが、JailbreakしたiPhoneだとUDIDを偽装できるので、JailbreakしたiPhoneを使ってUDIDを使ってログインするようなサービスやアプリがある場合、ほかのユーザーとしてログインができる――いわゆるなりすましができてしまう危険性があるので、そこを対策しようと。あともう1つは、UDIDを使ったターゲット広告などが問題視されたためという説もありますね。いずれにせよアップルとしては、UDIDを取得するAPIを廃止している最中にこうした流出騒ぎが起きてしまったので、「もっと早く廃止を進めておくべきだった」と苦々しく思っているんじゃないでしょうか。

――先ほど「今回の一件ではUDID以外の個人情報は漏れていないようです」と言われました。アップルから今回の情報が漏れたわけではなく、FBIでもないとすると、アンチセックはどこから情報を抜き取って公開したのでしょうか。

津田：9月10日、米国の電子出版関連企業BlueToadがアンチセックが盗み出したUDIDリストは、同社のサーバーから盗み出されたものであることを認め、発表しました。[*14] BlueToadの説明によれば、同社は従来開発目的でUDIDを集めていましたが、アップルの方針変更以降は保存することをやめたそうです。しかし、サーバーの脆弱性を突かれ、アンチセックにそれまで保存していたUDIDデータを盗み出されたと。また、同社は元からクレジットカード番号や社会保障番号などの機密情報は以前から収集したことがないそうで、それが本当ならば、流出したデータがクリティカルな目的で利用される可能性は低いですね。今回BlueToadが流出元だったという事実は、セキュリティ・コンサルタントのデビッド・シュエツ氏が突き止め、同社に連絡することで真相が明らかになりました。[*15] それを突き止めた手法は実にドラマのようにスリリングです。経緯がTechCrunchの記事 [*16] にまとまっているので、興味がある方はご一読いただければ。

――漏らしたのはアップルではなく、FBIでもなく、そもそもクリティカルな顧客情報ですらなかった。ではなぜアンチセックは「国民を監視目的のためアップルがFBIにデータを渡し、ハッカーがFBIのノートパソコンに侵入してデータを盗み出し、その陰謀を暴いた」というストーリーを発表したのでしょう。

津田：うーん。かっこよくいえば国家による情報統制への警告としてやったということかもしれませんが、デマですからね……。実際のところは、たまたまBlueToadのサーバーに侵入できてしまった今回の犯人が愉快犯的に話を大きくして公開したということなんじゃないでしょうか。アンチセックの犯行声明が事実だったら「世紀の情報漏洩事件」になったんでしょうが、実態はこれですから。とはいえ、個人に対する実質的な被害はほぼなかったわけですから、その意味では良かったと思います。

――今後、似たような事件が起きる可能性は？

津田：産業技術総合研究所の高木浩光さん [*17] は、2012年3月の時点で今回の一件で起きたようなリスクについてツイッターで警告しています。[*18] 高木さんはUDIDやMACアドレス [*19] のような端末固有番号を行動ターゲティング広告に使うことを問題視しており、それは何らかの形で他人のUDIDやMACアドレスを調べ、それを広告サーバーに送信することでその人の趣味嗜好がわかってしまうからなんですね。低いプライバシー意識に端を発する問題は、日本のIT企業でも起きており、高木さんは実際にUDIDを利用してログインを実装していたまずい例をブログやツイッターで指摘しています。[*20] このあたりの問題は日本の技術者コミュニティでも話題になりました。[*21] ただ、勘違いしてはいけないのは、UDID自体が悪なのではなく、UDIDをキーとして個人情報をオープンにするサービス・アプリがある、そのことが問題であるということです。これを解決するには、日本にもきちんとプライバシーの問題を独立して指導監督できる三条委員会 [*22] や独立機関を作る必要があると個人的には思っています。プライバシーに関して独立的にガバナンスが効かせられる状態が生まれない限り、本来の目的を超えてプライバシーを侵害するような悪質事業者を完全に排除することはできないでしょう。

――このようなプライバシーリスクに対して、ユーザーができる対策はあるんでしょうか。

津田：iPhoneやAndroidケータイを使わないことです。……というとあまりに身も蓋もありませんね。でも、実際の話、ユーザー側からできる対策というのはあまりないんです。せいぜい何か新しいアプリやサービスを利用する際、利用規約やプライバシーポリシーをよく読んで、怪しそうなのは入れない……とか、それぐらいしか対策はない。根本的な対策というのは、前述したような独立行政機関がプライバシーのルールを定め、それをキャリアやOSメーカー、アプリ開発会社などに遵守するよう、働きかけていくということしかないんだと思います。過度な利便性の陰には必ずプライバシー問題が潜んでいます。このことをスマホ時代のいま、改めて胸に刻んでおく必要があるんでしょうね。

[*1] http://www.asahi.com/international/update/0906/TKY201209060325.html

[*2] 当該記事は、現在は日数が経ったため、消去されている。

[*3] http://www.yomiuri.co.jp/net/security/ryusyutsu/20120906-OYT8T00296.htm

[*4] http://www.sponichi.co.jp/society/news/2012/09/05/kiji/K20120905004051150.html

[*5] http://www.asahi.com/international/update/0906/TKY201209060325.html

[*6] http://www.gizmodo.jp/2012/09/ios100antisecfbi.html

犯行声明文の原文はこちら→http://pastebin.com/nfVT7b0Z

[*7] http://wirelesswire.jp/Watching_World/201209061012.html

[*8] http://jp.techcrunch.com/archives/20120904fbi-no-evidence-apple-device-udids-leaked/

[*9] http://jp.techcrunch.com/archives/20120904apple-udid-leak-theres-no-proof-yet-of-fbi-involvement-but-heres-why-you-should-still-care/

[*10] http://www.atmarkit.co.jp/fsecurity/rensai/keitaiweb02/keitaiweb01.html

[*11] http://techcrunch.com/2011/08/19/apple-ios-5-phasing-out-udid/

[*12] http://jp.techcrunch.com/archives/20120324apple-udids/

[*13] http://matome.naver.jp/odai/2131037127104527101

[*14] http://itpro.nikkeibp.co.jp/article/NEWS/20120911/421861/

http://www.computerworld.jp/topics/666/204854

[*15] http://intrepidusgroup.com/insight/2012/09/tracking-udid-src/

[*16] http://jp.techcrunch.com/archives/20120911inside-the-udid-hack-how-a-lone-programmer-cracked-the-case/

[*17] https://twitter.com/HiromitsuTakagi

http://takagi-hiromitsu.jp/diary/

[*18] http://togetter.com/li/273878

[*19] http://itpro.nikkeibp.co.jp/article/Keyword/20120427/394072/

[*20] http://takagi-hiromitsu.jp/diary/20090802.html

http://togetter.com/li/256317

[*21] http://togetter.com/li/257450

[*22] http://mainichi.jp/opinion/news/20120407ddm003010178000c.html