セキュリティの脆弱なサービスやアプリが存在する問題

──それは怖いですね……。でも、なぜアプリ開発会社はUDIDを取得できるようになっていたんですか。

津田：いくつかの目的があります。1つはモバイル広告をトラッキングする際、ユーザーを識別するために使われました。もう1つは、取得したUDIDをユーザーのログインパスワードの代わりに使っていたケースもあるようです。完全に同じというわけではありませんが、ガラケーのウェブ向けサービスで一度登録すると、パスワードを入力せず、1クリックだけでログインできる「かんたんログイン」サービスがありますが、あれも携帯電話端末に固有に割り当てられている「契約者固有ID」というものを認証に使っていました。[*10] あれに近いイメージだと思えばわかりやすいかと思いますが、これはセキュリティ面で脆弱な利用法で、こうした利用法には批判の声もありました。

──アップルは2011年8月、iOS5のBeta 5が配布されたときの文書内に、UDIDにアクセスするAPIが「depricated（利用不可）」と記載し、将来的にUDIDを無効にする予定を発表しました。[*11] これはそうしたアプリのセキュリティやプライバシー意識の高まりが原因なんでしょうか。

津田：その文書が発表された後も、実際は猶予期間として機能そのものは使えました。ただ、後にUDIDにアクセスするアプリケーションは、AppStoreの審査でリジェクトされるようになったようです。[*12] アップルはこの決定について、理由を明らかにはしていませんが、UDIDをサービスの認証に使うセキュリティ的に脆弱なサービスやアプリの存在が問題となったことが引き金になったみたいですね。

──具体的にはどんなサービスやアプリなんでしょう？

津田：これもいろいろな説がありますが、1つはJailbreak [*13] 関連の問題です。Jailbreakとは、ざっくりいえば「iPhoneのOSを改造することで、サポートされてないさまざまな機能を利用できるようにすること」ということです。通常利用するiPhoneのUDIDは固有の番号で、ほかのiPhoneとは番号がかぶらないようになっていますが、JailbreakしたiPhoneだとUDIDを偽装できるので、JailbreakしたiPhoneを使ってUDIDを使ってログインするようなサービスやアプリがある場合、ほかのユーザーとしてログインができる──いわゆるなりすましができてしまう危険性があるので、そこを対策しようと。あともう1つは、UDIDを使ったターゲット広告などが問題視されたためという説もありますね。いずれにせよアップルとしては、UDIDを取得するAPIを廃止している最中にこうした流出騒ぎが起きてしまったので、「もっと早く廃止を進めておくべきだった」と苦々しく思っているんじゃないでしょうか。

──先ほど「今回の一件ではUDID以外の個人情報は漏れていないようです」と言われました。アップルから今回の情報が漏れたわけではなく、FBIでもないとすると、アンチセックはどこから情報を抜き取って公開したのでしょうか。

津田：9月10日、米国の電子出版関連企業BlueToadがアンチセックが盗み出したUDIDリストは、同社のサーバーから盗み出されたものであることを認め、発表しました。[*14] BlueToadの説明によれば、同社は従来開発目的でUDIDを集めていましたが、アップルの方針変更以降は保存することをやめたそうです。しかし、サーバーの脆弱性を突かれ、アンチセックにそれまで保存していたUDIDデータを盗み出されたと。また、同社は元からクレジットカード番号や社会保障番号などの機密情報は以前から収集したことがないそうで、それが本当ならば、流出したデータがクリティカルな目的で利用される可能性は低いですね。今回BlueToadが流出元だったという事実は、セキュリティ・コンサルタントのデビッド・シュエツ氏が突き止め、同社に連絡することで真相が明らかになりました。[*15] それを突き止めた手法は実にドラマのようにスリリングです。経緯がTechCrunchの記事 [*16] にまとまっているので、興味がある方はご一読いただければ。

津田大介

ジャーナリスト／メディア・アクティビスト。1973年生まれ。東京都出身。早稲田大学社会科学部卒。早稲田大学大学院政治学研究科ジャーナリズムコース非常勤講師。一般社団法人インターネットユーザー協会代表理事。J-WAVE『JAM THE WORLD』火曜日ナビゲーター。IT・ネットサービスやネットカルチャー、ネットジャーナリズム、著作権問題、コンテンツビジネス論などを専門分野に執筆活動を行う。ネットニュースメディア「ナタリー」の設立・運営にも携わる。主な著書に『Twitter社会論』（洋泉社）、『未来型サバイバル音楽論』（中央公論新社）など。

その他の記事

	クラウドにデータを委ねるということ（本田雅一）
	タバコ問題を考えなおす（川端裕人）
	「自然な○○」という脅し–お産と子育てにまつわる選民意識について（若林理砂）
	20代のうちは「借金してでも自分に先行投資する」ほうがいい？（家入一真）
	IR誘致に賭ける和歌山の今が象徴する日本の岐路（高城剛）
	冬のビル籠りで脳と食事の関係を考える（高城剛）
	決められないなら、委ねよう（天野ひろゆき）
	「歳を取ると政治家が馬鹿に見える」はおそらく事実（やまもといちろう）
	三菱商事とシーテックのコンソが洋上風力発電プロジェクト全勝の件（やまもといちろう）
	「芸能」こそが、暗黒の時代を乗り越えるための叡智であるーー感染症と演劇の未来（武田梵声）
	武器やペンよりもずっと危険な「私の心」（名越康文）
	新型コロナウイルスが浮き上がらせる様々な物事の本質（高城剛）
	中央集権的システムがもたらす「あたらしい廃墟」（高城剛）
	気候変動がもたらす望まれない砂漠の緑地の皮肉（高城剛）
	上野千鶴子問題と、いまを生きる我らの時代に（やまもといちろう）