SecureID
OpenUDID
Crashlytics

SecureUDIDはAppleのUDID(ユニーク・デバイスID)の使用禁止を受けたオープンソースの代替案

次の記事

Facebook、S-1を修正。「Yahoo特許訴訟の不利な結果」はビジネスに重大な影響を及ぼし得る

SecureUDID

すでに先週末に報じたが、AppleはUDIDの使用を止める努力を強めている

UDIDとはiPhoneやiPadなどAppleのiOSデバイス1台ごとに割り当てられユニークIDだ。これによってユーザーとデバイスを結びつけることができる。Appleは6ヶ月前、iOS 5のリリースの時点でデベロッパーに対して将来UDIDへのアクセスを停止する予定だと通告していた。最近AppleはUDIDにアクセスしようとするアプリのAppStoreへの登録を拒絶し始めた。

今日(米国時間3/27)、モバイル・デベロッパー向けにクラッシュ報告サービスを提供しているCrashlyticsが、UDIDをオープンソースで代替するSecureUDIDというソルーションを発表した。同社ではこれによってUDIDの利用にまつわるプライバシー侵害への懸念を取り除けるとしている。

ここでUDIDをめぐる状況を簡単に振り返ってみよう。Crashlyticsの共同ファウンダー、Jeff SeibertはAppleがUDIDを実装した当初、将来これほど広範囲かつ無制限に用いられるようになるとは考えていなかったのだろうと言う。

「Appleが最初にiPhoneをリリースしたとき、UDIDがセキュリティー上の問題になるとは思っていなかっただろう。単に個々のデバイスを識別するのに使われるだけだと考えていたに違いない。AppleもデベロッパーもUDIDに結びついた形で他の個人情報が漏洩した場合、きわめて深刻なプライバシーの侵害の危険性が生じることは予測できなかったと思う」とSeibertは言う。

Seibertはまた「事態をさらに深刻にしたのはUDID利用が全アプリの68%にも拡大していることだ。これだけ広く利用されていれば、一部の無責任なデベロッパーによって深刻な問題が起こされる可能性も高まる。そういったデベロッパーはUDIDが個人情報の一部をなすことを認識しておらず、それにふさわしい取扱をしない。UDIDを平文テキストで送信する。自社のデータベースに平文テキストで保存する。不適切なAPIの利用やサーバー管理の怠慢によってこうしたデータは容易にハッカーなどの手にわたってしまう」と言う。

UDIDの最大の問題は、一つのデバイスに対して社会保障番号のように一つのIDが割り当てられ、ユーザーは変更も削除もできないという点だ。

AppleがUDIDの利用を停止すると発表して以後、各種の対応策が発表された。AppsFireは最初の試みの一つで、OpenUDIDというオープンソースの代替案を発表した。Crashlyticsのエンジニア、Sam Robbinsもこのオープンソース・プロジェクトへの積極的な参加者だった。しかし時間がたつうちに、CrashlyticsはOpenUDIDは理想的なソリューションとはいえないと考えるようになった。

SecureUDID同様、OpenUDIDでもユーザーはオプトアウトできるもののデバイスごとにユニークIDが割り当てられる点はAppleのUDIDと変わりない。Seibertは「これでは同じことだ。情報がリークすればやはりプライバシー侵害が起きてしまう」と指摘する。あるデベロッパーからOpenUDID情報がリークすれば、AppleのUDIDがリークした場合と同様の問題が生じる―つまりそのIDからユーザーが所有しているデバイスを割り出せてしまう。

これに対してSecureUDIDはデベロッパーがマーケティングなどの目的のために個々のデバイスを識別できるようなIDが生成される点は同じだが、大きな違いはデベロッパーごとに異なるIDが生成されることだ。デベロッパーは自社のアプリに関してはユーザーを個々に識別してモニタすることができるが、他のデベロッパーがそのIDを入手しても役にたたない。

つまり全域的な単一IDを廃止することによって情報リークによるプライバシー侵害の危険性を下げようという試みだ。なおこのSecureUDIDからオプトアウトするには専用のアプリを使う必要がある。そのアプリは現在App Storeの審査に回っているが、Appleがどういう判断を下すか注目される。.

デベロッパーがSecureUDIDを実装するのはきわめて容易で、単にコードを3行追加するだけでよい。このソルーションはMITライセンスのオープンソース・ソフトウェアとして公開されている。CrashlyticsではAndroidデベロッパーを含むモバイル・アプリのデベロッパーから広く支持されることを期待している。

繰り返すが、現在SecureUDIDやOpenUDIDの他にも種々の代案がサードパーティーから登場している。またMACアドレスを利用するソルーションも提案されている。しかしこのMACアドレスの利用を含めて、代案の多くはプライバシー上の懸念を解消するものにはなっていない。

SecureUDIDについての技術的詳細はこちら

[原文へ]

(翻訳:滑川海彦 Facebook Google+