昨日、ハッカーグループ AntiSec は FBI から iPhone/iPad の個体識別番号(UDID)が1,200万件ほど記録されたリストを盗み出したと発表しました。その証拠として1,200万件のうちの100万件をインターネット上に公開しています。
公開されたリストには UDID・デバイスの種類・通知用トークンが記載されているようですが、盗んだリストにはユーザーの氏名・住所・電話番号が含まれており、公開する分についてはこれらの情報を削除したと AntiSec は主張しています。
このリストを分析した UDID の研究者・セキュリティ専門家はこれらの UDID が本物である可能性は高いとしています。また、実際に自分の iPhone の UDID を発見したとの証言もあります。
UDIDが流出すると何が危険なのか?
アプリやウェブサービスによっては UDID を認証に利用しています。
そのため UDID が流出すると、これを使って iPhone の UDID を偽装して成りすまし、アプリやウェブサービスを不正に利用される恐れがあります。
ユーザーにできる対策は?
UDID は iPhone/iPad に最初から割り振られている番号なので、ユーザーがこれを自由に変えることはできません。
どのアプリ・ウェブサービスが UDID を使っているのかはユーザーに分かりやすい形で表示されていないため、どれに成りすましの危険性があるのかは分かりません。
UDID を利用していることが分かるアプリ・ウェブサービスについては UDID の利用を停止させる・他のセキュリティオプションを導入する・パスワードを変更することをお勧めします。
また、ID・パスワードを保存して入力を省略できるアプリ・サービスで UDID が識別に使われている可能性があります。こういったアプリでは ID・パスワードの入力を省略しないように設定を変更し、パスワードも変更してください。
自分のUDIDが流出したかを確認できるサイトには要注意
今回の事件を受けて、公開されたリストをもとに自分の UDID が流出したか否かを確認できるウェブサイトが登場しています。
ただ、これらのウェブサイトでは検索のために自分の UDID を送信する際に、その内容が暗号化されない場合があります。暗号化されていないと盗聴される危険性があり、今回の事件で流出していないにも関わらず、被害に遭う恐れがあります。
今回の事件に便乗して UDID を収集するウェブサイトが登場する可能性もあります。利用される際にはご注意ください。
