ハッカー集団によるApple製品個人情報窃盗の流出元はFBIではなく出版社

By petter palander

先週、1200万ものiPhone/iPadの個人情報がハッキングで漏洩するという事態が発生しました。ハッカー集団はデータの取得元をFBIのノートPCだと発表していましたが、実際はフロリダ州にある小さなデジタル出版社がハッキングを受けたことが、この会社のCEOによって明かされました。

Statement from BlueToad regarding the cyber attack suffered in the recent case of stolen Apple UDIDs | BlueToad, Inc. Blog

EXCLUSIVE: The real source of Apple device IDs leaked by Anonymous last week - Red Tape

大元の事件は、AntiSecを名乗るグループがApple製品の個体識別番号(UDID)約100万件をネットで公開したというもの。AntiSecはこれをFBIのノートPCにハッキングを仕掛けて手に入れたもので、データは1200万件分あると発表していましたが、FBIはハッキングを受けた事実を否定し、AppleもFBIにUDID提供は行っていないとコメントしていました。

この続報として、「ハッキングを受けたのは我が社だ」という会社が声明を発表しました。

フロリダ州にあるデジタル書籍出版社BlueToadのポール・デハートCEOによると、AntiSecの発表したUDIDリストはBlueToadの持っているデータと98％の相関性があり、「100％我が社のものである」とのこと。

BlueToadではデジタル書籍とアプリを取り扱っていて、その過程でアプリからAppleのデバイス名とUDIDを自社サーバに送信していました。もちろん、これらのデータが重要なものであることは認識していたのでセキュリティ対策は万全に行っており、事実、毎日何千ものサイバー攻撃を受けてそれを防いできましたが、AntiSecの攻撃ではシステムの穴をつかれてしまったそうです。

デハートCEOがNBCニュースに語った内容によれば、セキュリティ関連コンサルタントのDavid Schuetz氏が先週BlueToadを訪れて、流出したデータはBlueToadからのものかもしれないと指摘したそうです。Schuetz氏は、発表されたリストがUDIDだけではなく、ユーザによってつけられたデバイス名も含まれていたことに着目。その中に「BlueToad」や「BlueToad support」といった名前がいくつも出てくることに気がつき、これはBlueToadが関係しているのだと特定したとのこと。BlueToadからは当局に通報済みで、現在捜査が進められており、BlueToadも協力しています。

Appleは今年初めにユーザを追跡するためのUDID取得を中止するようにと勧告を出しており、BlueToadもこれに従ってシステムを改修したため、現在のバージョンのアプリではUDIDの取得は行われていないそうです。また、クレジットカード番号や社会保障番号、医療情報のような高度個人情報はもともと取得していないため、流出したデータの危険性はそれほど高くないだろう、とデハートCEOは語っています。

なお、UDID使用に強く反対してきたセキュリティ専門家のAldo Cortesiさんは、かつてUDIDを使用してデバイス所有者のTwitterアカウントやFacebookアカウントをのっとることができたという経験から、今回の流出事件は非常に重大なものであると指摘。UDIDはデバイス固有のもので変更ができないことから、「『千里の道も一歩から』と言いますが、これは100万人に対するハッキングのその第一歩になり得ます」と警鐘を鳴らしています。