アップルから大量の個人情報が流出!?　というデマの真相

本文の事件発生は、折しも新型iPhone発表
の直前時期であった。（「Apple HP」より）

FBIがiPhone、iPadユーザーの情報を集めている？

　9月3日。国際的ハッカー集団として著名な「アノニマス」の一派が、米連邦捜査局（FBI）の捜査員のノートPCに不正侵入し、アップルのiPhoneやiPadに紐付いた約1200万台分の個人情報（端末固有番号、ユーザー名、端末名、端末の種類、郵便番号、携帯電話番号、住所など）を入手したという声明が出された。

　この発表はTwitterで行われ、インターネット上に掲載された声明では、この情報のうち、個人情報を削除した形で100万件を公開し、この理由について「FBIがアップルの情報を元に個人ユーザーの行動を密かに監視していることを知らしめるためにやった」としている。

　このニュースは即座にアメリカのメディアによって伝えられ、日本でもNHKニュースや新聞社系メディア、IT系メディアなどで大々的に報じられた。しかし、ITセキュリティやアノニマスなどの動向にさほど詳しくない一般の読者には、単に「アップルの顧客情報が流出した」と受け止められてしまうことが多かった。

　しかし、この事件は世間によくありがち（ありがちでは困るのだが）な企業の情報漏えい事件ではなく、あくまで、アノニマスの関連組織「AntiSec」がFBIのコンピュータに侵入して、情報を盗み出した、ということであった。

FBI陰謀説？　には謎が多かった

　本当にFBIがアップルのiPhoneやiPadの情報を集めていたのか？

　このニュースが流れると、セキュリティ専門家の間では疑問の声が少なからず上がった。

　1つは、iPhoneやiPadに付加されている端末固有ID、「UDID（Unique Device ID）」とそれに紐付いた個人情報をなんのためにFBIが保有していたのかが不明確な点だ。

　ちなみに、UDIDとは、iPhone、iPadの機器に埋め込まれた固有の情報で、任意の英数文字で成り立っている。この情報は端末を特定するために利用されるが、個人情報は一切含まれていない匿名情報であり、この情報だけではその端末の所有者の情報を知ることはできない。

　それではなぜ、UDIDとそれに対応する個人情報が紐付けられてしまうのだろうか？

　可能性として考えられるのは、携帯電話会社（販売店）の情報だ。携帯電話会社では、UDIDと、それを購入した顧客の情報を1つのレコードとして記録している。この情報を不正に入手すれば情報を得られる。もちろん、これはれっきとした犯罪である。

　また、別の方法もある。たとえば、オンラインショッピングなどのWebサービスを運営する会社で、iPhoneやiPadでアクセスして会員登録させるような仕組みをつくればいい。デバイスのWebブラウザー画面で個人情報を入力して送信すれば、Webサービス側ではUDIDと個人情報を紐付けられた形で入手でき、それ以降は、UDIDをトラッキングすれば、特定の個人のWeb上での行動を追跡できるのだ。

　事実、UDIDをマーケティング情報として個人情報と紐付けて利用している企業は多く、オンラインショッピングサイトへのアクセスを行うアプリなど、さまざまなアプリがUDIDをインターネット経由で送信している例が急増した。このような状況が続けば深刻なプライバシー侵害につながり、ユーザーにとってもアップルにとっても不利益となる。

　そこで、2011年、アップルはすでにUDIDを将来的に廃止することを明らかにし、開発者やサービス運営会社に対して、端末を特定するのにUDIDを使わない仕組みに移行するよう求めている。すでに、iPhone、iPad向けアプリの中には、アップルがUDIDの問題で公開を拒否したものもたくさんある。

　このように、将来UDIDがなくなることがはっきりしているのに、なぜFBIがUDIDの情報を利用しているのかは疑問である。また、UDIDはインターネットにアクセスする際に必ず送信される情報ではなく、UDIDを知っているからといって個人のネット上の活動を監視することは不可能だ。

　それに、犯罪捜査でもないのに星の数ほどあろうかというWebサービス会社に乗り込んで縄を張り、UDIDを使って個人をトラッキングすることなど、到底現実的ではない。このように、FBI陰謀説にはかなり無理がある。

真実は一人のセキュリティ専門家によって明らかに

　そんな中、9月11日に新しいニュースが世界を巡った。UDIDとそれに紐付いた個人情報の流出元は、アメリカのBlueToad社というデジタルコンテンツ配信企業だったのだ。この情報漏えい元はセキュリティ専門家であるDavid Schuetz氏によって突き止められた。

　公開された漏えいデータの中に、社内のデバイスと思われるBlueToad社の名前が頻出したことが理由だという。BlueToad社は、自社のコンピュータがハッキングの被害を受け、顧客リストが流出したことを公に認めた。一時は、FBIの国家的な確信犯罪と大々的に報じられたこの事件は、一人のエンジニアによって、単なる企業の情報漏えい事件に落ち着いたわけだ。

　BlueToad社によれば、かつてはiOSデバイス名やUDID、個人情報を収集しており、流出したデータは今年3月以前に作成されたものだが、アップルからの勧告により、現在はUDIDの収集を中止しているという。

　そもそもこの事件の発端は、アノニマスの関連組織が発したTwitterのツイートがきっかけだった。折しも、犯行声明を出したのは、アップルが新しいiPhoneを発表するというスペシャルイベントが開催された9月12日の直前で、あまりにタイミングが絶妙だ。裏でアップルを快く思わない企業や団体などが動いたのでは…と勘ぐりたくなるが、なぜAntiSecがそのような行動に出たのか。真実は闇の中だ。

　国家挙げてのユーザー追跡といったスパイ映画さながらの驚愕の事実はなかったが、UDIDに限らず、iPhoneやiPad、スマホを使う限りプライバシー流出の懸念はまだまだ残っている。自衛が難しい問題も多いが、今後もさまざまな情報を得るためにアンテナを張り巡らせ、何が起こっているのかしっかりと知ることが重要だろう。
（文＝池田冬彦）
※Business Journal（9月20日）

■おすすめ記事
アップルの大量発注と値切り…iPhone部品メーカーの嘆き
結局、iPhone 5は買うべきか否か？
朝日新聞、消費増税翼賛で読者離れが止まらない!?
シャープ、ホンハイとの出資交渉迷走の背景にある「傀儡経営」
小泉・竹中政権が産んだ負の遺産 銀行利権・日本振興銀行解散
4時間半も空港に足止め……格安旅行パックでハワイに行ってみた