9月5日、「アップルの顧客情報1200万件がハッカー集団によって盗み出され、流出する」というニュースが全世界を流れました。[*1] 犯行声明を出したのはハッカー集団「アノニマス」の関連組織「アンチセック」。ハッカー集団は何を目的として顧客情報を盗み出したのか。アップルユーザーはこのようなハッキングに対して自衛する手段はないのか。今回はアップルのハッキング問題を考えます。
アップルがやらかしたのか?
──今回の事件は全国新聞やテレビニュースでも大きく報じられました。やはり、1200万件というとてつもない数字であることや、絶好調のアップルがやらかしたのか? というインパクトで話題を集めたのでしょうか。
津田:そうですね。ただ、この問題を報じるニュースの見出しには若干の違和感を持ちました。例えば、NHKニュースの見出しは「アップル顧客情報 1200万件流出か」[*2] 、読売新聞の見出しは「アップル1200万台分、個人情報流出か」[*3] 、スポーツニッポンの見出しは「アップル顧客情報流出か ハッカー集団1200万件入手」[*4] など。ストレートに読むと「アップルの顧客情報が(何らかの不手際で)漏れた」と読めるようなものが多かったですね。今回の場合、少なくともアップルが自ら管理している顧客情報の管理が杜撰だったから漏れた、というわけではありません。その意味では朝日新聞の見出し「アップル端末ID『1200万件流出』アノニマス系団体」[*5] がもっとも的確にこのニュースを伝えていたと思います。
──顧客情報が漏れたわけではないんですか? しかし、「端末ID」と言っても一般の人にはわからない気もしますが……。
津田:そうですね。わかりにくい話だったので見出しはざっくりと「顧客情報」とした、ということなんだとは思います。では、アンチセックは今回一体どんな情報を盗み出したのかというと、アップルがiOSの機能の一部として提供していた「UDID(Unique Device IDentifier)」という固有の端末識別番号なんですね。これは、iPhoneだけでなく、iPadやiPod touchなどすべてのiOSデバイスのそれぞれに固有で、重複しないようになっています。ざっくりといえば、デジタルで識別できる製品のシリアルナンバーみたいなものですね。あ、ただ、通常のシリアルナンバーは連番で割り振られていきますが、UDIDの場合、数値や文字列はランダムになります。
──なるほど。今回はそのUDIDをアンチセックたちが盗み出したと。アップルのサーバーをハッキングして盗み出したのでしょうか。
津田:違います。当初アンチセックは「FBIのエージェントが使用するノートパソコンから盗み出した」という犯行声明を出していました。[*6] FBIが何らかの形でアップルから顧客情報を入手し、それを国民の監視目的で使っているのではないか、と示唆していたわけですね。ただ、ここで重要なのはUDIDの使い道です。アップルは自社の製品にUDIDを割り当ててはいますが、「顧客情報」としては管理していません。同社が管理している顧客情報はiTunes Storeやアップルのサービスを利用する際に必要な「Apple ID」とそのパスワードです。この犯行声明を受けアップルは「FBIがアップルに対し、このような情報の提供を求めたことはなく、われわれもまたFBIやその他のいかなる組織にもそのような情報を提供したことはない」とする声明を発表し、[*7] FBIも「FBIのノートパソコンが侵害され、Apple UDIDに関する個人情報が暴露されたとする記事が報道されたことを認識してる。現時点でFBIのノートパソコンが侵害されたこと、あるいはFBIがこのデータを探索あるいは入手したことを示す証拠はいずれも存在しない」とすぐにその事実を否定しました。[*8]
