セキュリティの脆弱なサービスやアプリが存在する問題
──それは怖いですね……。でも、なぜアプリ開発会社はUDIDを取得できるようになっていたんですか。
津田:いくつかの目的があります。1つはモバイル広告をトラッキングする際、ユーザーを識別するために使われました。もう1つは、取得したUDIDをユーザーのログインパスワードの代わりに使っていたケースもあるようです。完全に同じというわけではありませんが、ガラケーのウェブ向けサービスで一度登録すると、パスワードを入力せず、1クリックだけでログインできる「かんたんログイン」サービスがありますが、あれも携帯電話端末に固有に割り当てられている「契約者固有ID」というものを認証に使っていました。[*10] あれに近いイメージだと思えばわかりやすいかと思いますが、これはセキュリティ面で脆弱な利用法で、こうした利用法には批判の声もありました。
──アップルは2011年8月、iOS5のBeta 5が配布されたときの文書内に、UDIDにアクセスするAPIが「depricated(利用不可)」と記載し、将来的にUDIDを無効にする予定を発表しました。[*11] これはそうしたアプリのセキュリティやプライバシー意識の高まりが原因なんでしょうか。
津田:その文書が発表された後も、実際は猶予期間として機能そのものは使えました。ただ、後にUDIDにアクセスするアプリケーションは、AppStoreの審査でリジェクトされるようになったようです。[*12] アップルはこの決定について、理由を明らかにはしていませんが、UDIDをサービスの認証に使うセキュリティ的に脆弱なサービスやアプリの存在が問題となったことが引き金になったみたいですね。
──具体的にはどんなサービスやアプリなんでしょう?
津田:これもいろいろな説がありますが、1つはJailbreak [*13] 関連の問題です。Jailbreakとは、ざっくりいえば「iPhoneのOSを改造することで、サポートされてないさまざまな機能を利用できるようにすること」ということです。通常利用するiPhoneのUDIDは固有の番号で、ほかのiPhoneとは番号がかぶらないようになっていますが、JailbreakしたiPhoneだとUDIDを偽装できるので、JailbreakしたiPhoneを使ってUDIDを使ってログインするようなサービスやアプリがある場合、ほかのユーザーとしてログインができる──いわゆるなりすましができてしまう危険性があるので、そこを対策しようと。あともう1つは、UDIDを使ったターゲット広告などが問題視されたためという説もありますね。いずれにせよアップルとしては、UDIDを取得するAPIを廃止している最中にこうした流出騒ぎが起きてしまったので、「もっと早く廃止を進めておくべきだった」と苦々しく思っているんじゃないでしょうか。
──先ほど「今回の一件ではUDID以外の個人情報は漏れていないようです」と言われました。アップルから今回の情報が漏れたわけではなく、FBIでもないとすると、アンチセックはどこから情報を抜き取って公開したのでしょうか。
津田:9月10日、米国の電子出版関連企業BlueToadがアンチセックが盗み出したUDIDリストは、同社のサーバーから盗み出されたものであることを認め、発表しました。[*14] BlueToadの説明によれば、同社は従来開発目的でUDIDを集めていましたが、アップルの方針変更以降は保存することをやめたそうです。しかし、サーバーの脆弱性を突かれ、アンチセックにそれまで保存していたUDIDデータを盗み出されたと。また、同社は元からクレジットカード番号や社会保障番号などの機密情報は以前から収集したことがないそうで、それが本当ならば、流出したデータがクリティカルな目的で利用される可能性は低いですね。今回BlueToadが流出元だったという事実は、セキュリティ・コンサルタントのデビッド・シュエツ氏が突き止め、同社に連絡することで真相が明らかになりました。[*15] それを突き止めた手法は実にドラマのようにスリリングです。経緯がTechCrunchの記事 [*16] にまとまっているので、興味がある方はご一読いただければ。
