iOSデバイス100万件分の個人情報が流出中! AntiSecがFBIのコンピューターに侵入

iOSデバイス100万件分の個人情報が流出中! AntiSecがFBIのコンピューターに侵入 1

自分は大丈夫かどうか、チェックしてみてください!

AntiSecがiPhoneやiPadなど、iOSデバイスのID(UDID)やそれにひもづく個人情報100万件を流出させています。彼らによれば、そのデータはFBIのコンピューターに侵入して入手したもののごく一部で、実際彼らの手元には全部で1200万件のデータがあるそうです。内容はUDIDのほか、ユーザー名、デバイス名、電話番号と住所がそこにひもづいているそうです。危険です。

 

こちらはAntiSecの声明です。

2012年3月の2週目、FBIの地域サイバーアクションチームおよびニューヨークFBIオフィス証拠対応チームのスーパーバイザー・スペシャル・エージェント、クリストファー・K・スタングルが使うDELLのラップトップVostroがブリーチされた。JavaのAtomicReferenceArrayの脆弱性が利用された。シェルセッションの間にいくつかのファイルがデスクトップフォルダからダウンロードされ、そのひとつが「NCFTA_iOS_devices_intel.csv」というファイル名だった。これはアップルのiOSデバイス1236万7732件のリストで、そこにはUDID、ユーザー名、デバイス名、デバイスのタイプ、アップルのプッシュ通知サービストークン、郵便番号、電話番号、住所等々と、たいていは空欄だったが個人の詳細情報フィールドが並んでいた。同じフォルダにあった他のファイルには、このリストやその目的に関する言及はなかった。

AntiSecは、FBIがこの情報を一般人追跡のために使っていたことを示唆しています。それが正しいかどうかはわかりませんが、もしそうなら、AntiSecが流出させているファイルの中のNCFTAという略称は「National Cyber-Forensics & Training Alliance」(米国サイバー鑑識・訓練協定)のことだと思われます。NCFTAはFBIが他の組織とともにサイバー犯罪に対応するために設立した組織で「民間企業と警察機関の間の橋渡し役」と位置付けられています。なので可能性としては、アップルがFBIにNCTFA経由でデータを渡していて、FBIがその分析をしていたとも考えられるし、またはまったく何か違う背景があったのかもしれません。

いずれにしても、さしあたって今回の情報流出の詳細を説明するような情報は得られなさそうです。AntiSecは報道機関の取材を拒否し続けていますが、米Gizmodoを運営するGawkerのエイドリアン・チェン記者を名指しして「エイドリアン・チェンがバレエのチュチュを着けて頭に靴をのせてポーズしたPhotoshopなしの画像をGawkerのトップページに1日掲載するまで」新しい情報は出さないと言っています(ちなみに「頭に靴をのせた画像」というのは、アメリカの掲示板4chanのお約束的なものだそうです)。なんとなく、この手の人たちらしい要望ではあります。

流出した100万件に自分のデータが含まれているかどうかは、今のところこちらのTNWのサイトやこのページのツールでチェック可能です。ページの中の入力ボックスに自分のiOSデバイスのUDIDを入力すれば、100万件の中にマッチするUDIDがあるかどうか教えてくれます。UDIDは、iOSデバイスをコンピューターに接続して、iTunesの左ペインの「デバイス」の下に表示される自分のデバイス名をクリック、右ペインに表示される「シリアル番号」部分をクリックすると表示されます。その状態で「編集」→「識別子(UDID)をコピー」すればUDID全体をコピーできます。

ただし、今公開されているのは1200万件あまりのうちの100万件なので、残る1100万件あまりの中に自分のデータが含まれている可能性もあります。

米GizmodoではFBIとNCTFAにコメントを求めましたが、FBIから「現時点でのコメントは差し控える」という回答があったのみです。またAllthingsDの取材に対しては、FBIは「現時点では、FBIのコンピューターに侵入されたり、そもそもFBIがそのようなデータを入手していたりした証拠はない」と回答しています。でももしAntiSecの声明通りだとしたら、5ヵ月ほど前にはアノニマス退治に成功したかに見えた彼らにとっては、手痛い反撃だったことでしょう。

[Pastebin via YCombinator via The Next WebAllthingsD]

Jamie Condliffe & Sam Biddle(原文/miho)