セキュリティの脆弱なサービスやアプリが存在する問題

──それは怖いですね……。でも、なぜアプリ開発会社はUDIDを取得できるようになっていたんですか。

津田：いくつかの目的があります。1つはモバイル広告をトラッキングする際、ユーザーを識別するために使われました。もう1つは、取得したUDIDをユーザーのログインパスワードの代わりに使っていたケースもあるようです。完全に同じというわけではありませんが、ガラケーのウェブ向けサービスで一度登録すると、パスワードを入力せず、1クリックだけでログインできる「かんたんログイン」サービスがありますが、あれも携帯電話端末に固有に割り当てられている「契約者固有ID」というものを認証に使っていました。[*10] あれに近いイメージだと思えばわかりやすいかと思いますが、これはセキュリティ面で脆弱な利用法で、こうした利用法には批判の声もありました。

──アップルは2011年8月、iOS5のBeta 5が配布されたときの文書内に、UDIDにアクセスするAPIが「depricated（利用不可）」と記載し、将来的にUDIDを無効にする予定を発表しました。[*11] これはそうしたアプリのセキュリティやプライバシー意識の高まりが原因なんでしょうか。

津田：その文書が発表された後も、実際は猶予期間として機能そのものは使えました。ただ、後にUDIDにアクセスするアプリケーションは、AppStoreの審査でリジェクトされるようになったようです。[*12] アップルはこの決定について、理由を明らかにはしていませんが、UDIDをサービスの認証に使うセキュリティ的に脆弱なサービスやアプリの存在が問題となったことが引き金になったみたいですね。

──具体的にはどんなサービスやアプリなんでしょう？

津田：これもいろいろな説がありますが、1つはJailbreak [*13] 関連の問題です。Jailbreakとは、ざっくりいえば「iPhoneのOSを改造することで、サポートされてないさまざまな機能を利用できるようにすること」ということです。通常利用するiPhoneのUDIDは固有の番号で、ほかのiPhoneとは番号がかぶらないようになっていますが、JailbreakしたiPhoneだとUDIDを偽装できるので、JailbreakしたiPhoneを使ってUDIDを使ってログインするようなサービスやアプリがある場合、ほかのユーザーとしてログインができる──いわゆるなりすましができてしまう危険性があるので、そこを対策しようと。あともう1つは、UDIDを使ったターゲット広告などが問題視されたためという説もありますね。いずれにせよアップルとしては、UDIDを取得するAPIを廃止している最中にこうした流出騒ぎが起きてしまったので、「もっと早く廃止を進めておくべきだった」と苦々しく思っているんじゃないでしょうか。

──先ほど「今回の一件ではUDID以外の個人情報は漏れていないようです」と言われました。アップルから今回の情報が漏れたわけではなく、FBIでもないとすると、アンチセックはどこから情報を抜き取って公開したのでしょうか。

津田：9月10日、米国の電子出版関連企業BlueToadがアンチセックが盗み出したUDIDリストは、同社のサーバーから盗み出されたものであることを認め、発表しました。[*14] BlueToadの説明によれば、同社は従来開発目的でUDIDを集めていましたが、アップルの方針変更以降は保存することをやめたそうです。しかし、サーバーの脆弱性を突かれ、アンチセックにそれまで保存していたUDIDデータを盗み出されたと。また、同社は元からクレジットカード番号や社会保障番号などの機密情報は以前から収集したことがないそうで、それが本当ならば、流出したデータがクリティカルな目的で利用される可能性は低いですね。今回BlueToadが流出元だったという事実は、セキュリティ・コンサルタントのデビッド・シュエツ氏が突き止め、同社に連絡することで真相が明らかになりました。[*15] それを突き止めた手法は実にドラマのようにスリリングです。経緯がTechCrunchの記事 [*16] にまとまっているので、興味がある方はご一読いただければ。

津田大介

ジャーナリスト／メディア・アクティビスト。1973年生まれ。東京都出身。早稲田大学社会科学部卒。早稲田大学大学院政治学研究科ジャーナリズムコース非常勤講師。一般社団法人インターネットユーザー協会代表理事。J-WAVE『JAM THE WORLD』火曜日ナビゲーター。IT・ネットサービスやネットカルチャー、ネットジャーナリズム、著作権問題、コンテンツビジネス論などを専門分野に執筆活動を行う。ネットニュースメディア「ナタリー」の設立・運営にも携わる。主な著書に『Twitter社会論』（洋泉社）、『未来型サバイバル音楽論』（中央公論新社）など。

その他の記事

	想像以上に深いAmazonマーケットプレイスの闇（本田雅一）
	ネットとは「ジェットコースター」のようなものである（小寺信良）
	｢文章を売る｣ということ（茂木健一郎）
	「キレる高齢者」から見る“激増する高齢者犯罪”の類型（やまもといちろう）
	気候変動が影響を及ぼす人間の欲望のサイクル（高城剛）
	ロバート・エルドリッヂの「日本の未来を考える外交ゼミナール」が2017年8月上旬にオープン！（ロバート・エルドリッヂ）
	スマートフォンの登場：デジタルカメラ市場の駆逐へ（高城剛）
	21世紀、都市の未来は「空港力」にかかっている（高城剛）
	スマホはこのまま「高くなる」」のか（西田宗千佳）
	古い日本を感じる夏のホーリーウィークを満喫する（高城剛）
	大手企業勤務の看板が取れたとき、ビジネスマンはそのスキルや人脈の真価が問われるというのもひとつの事実だと思うのですよ。（やまもといちろう）
	レシート買い取りサービスONEと提携したDMMオートの思惑（本田雅一）
	週刊金融日記 第291号【SegWit2xのハードフォークでまた天から金が降ってくるのか、日経平均は1996年以来の高値にトライ他】（藤沢数希）
	私の経営情報グループ『漆黒と灯火』の会員を募集したら一日で枠が蒸発した（やまもといちろう）
	フランス人の「不倫」に対する価値観（石田衣良）