先週、一般紙にまで載った記事のフォロー。一般紙では Apple が遺漏したような印象になるような見出しだったが、結局 Apple ではなく、更に当然に FBI でもなかった。しかし、残念ながらこの記事は一報ほどは拡散していない。間違った情報を垂れ流してアクセスを稼いだマスゴミは、面白くない結果に不満なんだろうな。
それとは別に、遺漏したのは事実なのだから、盗まれた人の被害は全く回復されていない事を忘れてはいけない。盗まれて公開されたら最後、遺漏元が Apple だろうが Google だろうが、日本政府だろうが関係ない。標的になるのは個人なのだから。BlueToad のサービスを使ってなければ一安心ということではあるが、使った記憶がある場合には何らかのアクションを取る必要があるかもしれない。
素人考えでは、クレジットカードとかは抜かれていないようなので大騒ぎする必要はないと思うが、そもそもフォロー記事を書かなくていい程度の危険度なら最初から大騒ぎするのはおかしい。何にしても、日本のマスコミの記事などはあてにならない。
AppleのUDID 100万件の漏洩元はコンテンツ配信サービスのBlueToadだった―プログラマーが1人で突き止める
先週、AppleのUDID(ユニーク・デバイスID)100万件を公開したAntisecというハッカー集団は、ジェイソン・ボーンばりに「FBIのノートパソコンに侵入して入手したものだ」と主張していた。 真相は結局そのようなセンセーショナルなものではなかったが、テクノロジーの観点からするとはるかに興味深かった。
昨日報じられたように、データはアプリやコンテンツの配信サービス、BlueToadから盗まれたものだった。同社のコンピュータは最近ハッキングの被害を受け、顧客リストが流出していた。
BlueToadのデータが漏洩元だということが発見された経緯が興味深い。UDIDのデータが公表されると同時にセキュリティーの専門家でプログラマーのDavid Schuetzはデータの精査を始めた。データをソートして重複をチェックすると、面白いことに気づいた。あるUDIDが繰り返し現れるのだ。
11回 4daa64abd
10回d1f575954
10回 aa5c7aedb
8回 12e6ec97e
7回 f661c1396
7回 4225e2a59
6回 91a83b0e3
6回 480074431
Schuetzは「重複したデバイスIDは漏洩元の企業に属するのではないか」と考えた。上記のデバイスIDのデバイス名は以下のようだった。‘Bluetoad iPad’
‘Bluetoad iPad’
‘Client iPad BT’
‘Client iPad BT’
‘CSR/Marketing iPad’
‘CSR/Marketing iPad’
‘Jessica Aslanian’s iPad’
つまり1つのデバイスが多数のアプリに使われたのだろう。企業が社内でテスト用に使っていた疑いが強くなった。これを端緒としてさらに調査を進めるとBlueToadが漏洩元だと確信できた。Schuetzは密かに同社に連絡を取った。幸い、BlueToadのCEOは真相解明に進んで協力してくれた。
その夜、8:00を少し回ったころ、BlueToadのCIO、Hutch Hickenから電話があった。彼は私が情報をいきなり公開せず、まず自分たちに報告してくれたことに礼を言った。彼は「状況を調査しているが、まだ正確なことはわからない。3月のハッキング被害(これにはすでに気づいていた)は無関係だと思うが、あなたが発見した情報は憂慮すべき内容だ」と言った。彼は「なすべきことをするつもりだ」と言い、私に(社外の人間に対するものとしては最大限に)情報を提供すると言った。
さて教訓は? 「国民を監視するのを助けるためにAppleがFBIにデータを渡し、ハッカーがFBIのノートパソコンに侵入してデータを盗み出した」という最初の話はいくらなんでもできすぎだった。それが事実だったらひっくり返るような大事件になっていただろう。しかし本当の漏洩元を突き止めるには一人の熱心なプログラマーがコマンドラインからいくつか命令を打ち込むだけでよかった。いっとき「世紀の漏洩」と騒がれた事件だったが、結局は高校生のワルガキがアプリ配信サービスのデータベースに侵入しただけといったことだったのかもしれない。