Appleユーザーデータの謎の漏洩で陰謀がさらに複雑に
クリストファー・バッド著
フロリダの小さなオンライン出版社「Blue Toad」が、先週のAnonymous/AntiSecとFBIによるiOSデータ漏洩に関する記事に介入し、既に曖昧な状況をさらに複雑にしました。誰もが面白い犯罪小説を好むとはいえ、今回の展開は、被害を受けたユーザーがいかに責任を負わされるかを改めて浮き彫りにしています。
このニュースを初めて知った方のためにお伝えします。先週、著名なハクティビスト集団「Anonymous」の分派であるAntiSecが、Appleデバイスユーザー100万人に関する情報を公開しました。声明の中で、AntiSecは、これは「NCFTA_iOS_devices_intel.csv」というファイルで取得された、12,367,232台のApple iOSデバイスから取得した情報のサブセットであると主張しました。さらに、このファイルは2012年3月にFBIスーパーバイザー特別捜査官に対して行われたJavaの脆弱性を利用した攻撃によって入手されたと主張しています。入手した情報には、「[Apple iOS]ユニークデバイス識別子(UDID)、ユーザー名、デバイス名、デバイスの種類、Appleプッシュ通知サービストークン、郵便番号、携帯電話番号、住所など」が含まれていたと彼らは主張しています。
しかし、同社が公開した情報の一部では、「氏名、携帯電話番号、住所、郵便番号」などの個人情報が削除され、デバイスが存在する場合にそれを識別できる程度の情報だけが残されたという。
この情報が公開されたことで、第三者は主張の信憑性、そしてもし正当だとすればその意味について推測し始めました。疑惑のファイル名に含まれていた「NCFTA」は、サイバー犯罪の脅威に関する知識と情報の調整と共有を支援することに重点を置く官民連合であるNational Cyber-Forensics & Training Alliance(NCFTA)とすぐに結び付けられました。FBIは、データを入手したことも攻撃を受けたこともありませんと断固として否定しました。Appleもまた、セキュリティに関するコメントを控えるという従来の方針を破り、「FBIはAppleにこの情報を要求しておらず、AppleもFBIやその他の組織に提供していません」と述べました。
しかし、このような状況では否定されるのは当然のことなので、これがFBIによる国内監視の証拠ではないかという噂や憶測が飛び交っている。
AntiSec/Anonymousが大きな主張を展開し、政府機関がそれを否定するのはよくあることです。つまり、誰を信じるべきか信じるべきでないか、私たちは推測するしかありません。そして、今週末に起こった出来事がなければ、この話もこれで終わりになるはずでした。
NBCニュースのレッドテープ・クロニクルズのケリー・サンダースとボブ・サリバンは、ブルー・トード・パブリッシングのCEO、ポール・デハートとの独占インタビューを獲得した。デハートは、公開されたデータはおそらく同社のシステムから出たものだと主張した。
デハート氏はNBCニュースに対し、外部のセキュリティコンサルタントであるデビッド・シューツ氏が、自身の分析結果からデータが自分たちから出回っている可能性があると指摘した際に、自分たちが情報源である可能性に初めて気づいたと語った(シューツ氏の分析はこちら)。デハート氏はさらに、データが「過去2週間」に取得されたことを示唆する調査を開始したが、調査が進行中のためそれ以上の情報は明かさなかったと述べている。
データ漏洩の出所の主張に第三者が積極的に異議を唱え、漏洩は自社のものだと主張するのは、確かに新しい展開です。このような事例を最後に見たのはいつだったか思い出せません。Blue Toadは、データが自社のシステムから盗まれたと主張することで、間接的にAntiSecの主張を反駁し、AntiSecがFBIとNCFTAの論点を完全に捏造したと示唆しています。
これにより、データの出所は以前よりもさらに不明瞭になったが(あるいは、アノニマス関連の事件ではよくあることだが)、影響を受けたユーザーにとって「そもそも私の情報は誰が持っていたのか?」という疑問も依然として明確になった。
Blue Toadという会社の名前を聞いたことがある人はほとんどいないでしょう。同社は「世界中の出版社にデジタル版とモバイルアプリを提供するデジタル出版会社」であるとしています。基本的に、彼らは他の出版社にサードパーティプラットフォームのサポートを提供しています。あなたはBlue Toadの顧客ではなく、彼らの顧客の顧客です(彼らのサイトには、「30以上の再販業者、5,000以上の出版社、10,000以上のタイトルから信頼されています」と記載されています)。Blue Toadの主張が正しく、データが失われたと仮定すると、このデータ侵害の影響を受けた人々の視点から見ると、これは2011年4月のEpisilonのデータ侵害に似た状況です。ここでも、あそこでも、おそらく聞いたこともない会社のデータ侵害の影響を受けた人々がいるのです。そしてDeHartのコメントに基づくと、Episilonの場合と同様に、Blue Toadは影響を受けた人々に直接通知するつもりはなく、出版社(その顧客)に対応を任せています。
これにより、iOSユーザーは、自分が影響を受けているのか、またどの程度影響を受けているのかが分からないという、非常に不利な立場に置かれています。UDIDを調べて影響を受けているかどうかを確認できるサイトはありますが、サードパーティのサイトには常に注意が必要です。Gizmodoが指摘しているように、UDIDが表示されないからといって、データが漏洩していないとは限りません。AntiSecは1200万件のレコードを保有していると主張しており、Blue Toadはこの特定の情報について(少なくとも今のところは)異議を唱えていません。
AntiSec-FBI/NCFTA という角度は陰謀論を煽る格好の材料となり、Blue Toad からの情報がその要因となる可能性もあるが、ここで最も重要なのは、再びデータ侵害が発生し、影響を受けたユーザーが自力で対処しなければならなくなり、私たち全員が、自分たちも影響を受けたユーザープールに含まれているのではないかと疑問に思うことになるという点だ。
