2012年11月8日木曜日

Apple-FBI-AntiSec間における個人特定情報違反が巻き起こす大混乱

  • このエントリーをはてなブックマークに追加
ESET研究員である筆者の妻のiPhone・iPadの端末情報が、以外な場所で漏洩していましたので、そのレポートです。

その場所とは、彼女のデバイスの単一な識別子と彼女がつけたデバイス名を含んだiOSデバイスのデータに関する100万行に渡るスプレッドシートでした。このシートは、自身を"AntiSec"と呼ぶハッカー集団によって公表されたものです。

このグループは、この公表したデータと、さらに多くのデータをFBIエージェントのノートパソコンから取得したと主張しています。

私の妻のiPhoneレコード(Clouseau警部のファンは、彼女のiPhoneのスペルがわかるかもしれません)のスクリーンショットから始まるこれらの非常に奇妙な状況を、筆者が出来る限りの報告をすることを許して下さい。

AntiSecが提供するiOSデータ:ESETセキュリティブログ


[追記:Apple社の広報担当者は、同社がFBIにこの情報を提供しておらず、FBIからこのデータを要求されたこともないことを述べました。AllThingsDによって報告されたニュースを参照してください。また、Apple社は「iOS6と共に我々が提供する新しいAPIのセットは、UDIDの使用を置き換えるためのもので、すぐにUDIDの使用を禁止にする予定です。」と発表しました。]

まず、私がApple社のコーポレートセキュリティまたはiOSデバイスのセキュリティがこの事件で破られた、または、Apple社が何らかの悪いことをやったという証拠を見たことがないことを明記しておきます。実際、Apple社はハッキングで晒されたレコードにリンクされた名前を見るに、被害者の一人かもしれません。

第2に、この特定のハッカー達によって、これら100万の公表されたレコードから差し迫った危険はないと理解しています。詐欺や個人情報の盗難を犯して公開されたデータをどのように使えるかは私にはわかりません。

心配事は、ハッカー達が同じ所から手に入れたデータはもっと多くあると言っていることです。すなわち、ファイルに含まれている個人情報は100万行ではなく、12,367,232行のデバイス情報があるということです。そのうちのいくつかのレコードにはUDIDだけではなく、デバイスの所有者の名前、住所、および電話番号といった個人特定情報が含まれています。


このデータはどこからハッキングされたのでしょうか?

憶測が飛び交っていますが、独立して確認できた事実がいくつかあります。昨日、FBIは、自身が流出ファイルの源であることを否定しました。私が間違いないこととして知っている唯一の事は、私の妻のデバイスの詳細は、彼女に関する他の情報と一緒に「そこ」にあり、私はそれについて良くは感じていないということです。

ハッカー達は、誰もがダウンロードできる1,000,001レコードを公開しています(説明、ならびにレコードの公開に伴う声明は、PasteBin上にあります)。

私は100万のレコードをダウンロードして、それらの中に私の妻のデバイスがあることを見つけました。ハッカー達は、名前、住所、電話番号、郵便番号など、彼女の個人特定情報のいずれも公開しませんでしたが、彼らが「獲得した」大きなファイル(少なくとも1,200万以上ものデータ)には、そのような情報が含まれていると主張しています。

(あなたがiPod、iPad、またはiPhoneを所有している場合、あなたのデバイスが100万レコードの中に入っているか不安になるかもしれません。LastPassの善意の人々が、確認する方法を示しているWebページを提供しています。)

今、私は、この特定のハッカー集団がデータを持っていることを、さほど懸念していません。彼らは、利益ではなく指摘のために、それを使用すると決めたように思われます。

しかし、私は彼らがそれを見つける前に、このデータが明らかに、充分に保護されていなかったファイルの中に格納されていたことを非常に懸念しています。

そして、私はそれがどこから来たのかなど、非常に興味津々です。これまでのところ、我々は、多くの手掛かりは持っておらず、データベースのサイズが1であるかもしれません。AntiSecが主張することに基づくと、ファイルはおそらく、ディスクスペースでいうとギガバイト以上を占めています。我々が話題にしている1,200万台というのは、全てのiOSデバイスのうちの30から40分の1の数になります(私の知る限り、4億台以上のiOS機器が販売されました)。

もちろん、インターネット上では政府の監視という憶測で盛り上がっていますが、ファイルが広告代理店、またはデータブローカーから来ているかもしれません(Apple社が、商業目的のためにUDIDや他のデータを送信したいくつかのアプリを停止した約一年前まで)。

我々は憶測を控えます。いくつかの確かな事実が明るみに出たときにお知らせする予定です。ありがたいことに、私の知る限りでは、今回の出来事によって私たちのiOSデバイスのセキュリティが脅かされはしないので、パニックに陥る必要はありません。


出典:blog.eset.com
  • このエントリーをはてなブックマークに追加

ページの先頭に戻る