UDID
hacker
BlueToad

AppleのUDID 100万件の漏洩元はコンテンツ配信サービスのBlueToadだった―プログラマーが1人で突き止める

次の記事

NoSQLデータベース+ACID, FoundationDBは高信頼性とスケーラビリティの二兎を売る

antisec1

先週、AppleのUDID(ユニーク・デバイスID)100万件を公開したAntisecというハッカー集団は、ジェイソン・ボーンばりに「FBIのノートパソコンに侵入して入手したものだ」と主張していた。 真相は結局そのようなセンセーショナルなものではなかったが、テクノロジーの観点からするとはるかに興味深かった。

昨日報じられたように、データはアプリやコンテンツの配信サービス、BlueToadから盗まれたものだった。同社のコンピュータは最近ハッキングの被害を受け、顧客リストが流出していた。

BlueToadのデータが漏洩元だということが発見された経緯が興味深い。UDIDのデータが公表されると同時にセキュリティーの専門家でプログラマーのDavid Schuetzはデータの精査を始めた。データをソートして重複をチェックすると、面白いことに気づいた。あるUDIDが繰り返し現れるのだ。

11回 4daa64abd
10回d1f575954
10回 aa5c7aedb
8回 12e6ec97e
7回 f661c1396
7回 4225e2a59
6回 91a83b0e3
6回 480074431

Schuetzは「重複したデバイスIDは漏洩元の企業に属するのではないか」と考えた。上記のデバイスIDのデバイス名は以下のようだった。

‘Bluetoad iPad’
‘Bluetoad iPad’
‘Client iPad BT’
‘Client iPad BT’
‘CSR/Marketing iPad’
‘CSR/Marketing iPad’
‘Jessica Aslanian’s iPad’

つまり1つのデバイスが多数のアプリに使われたのだろう。企業が社内でテスト用に使っていた疑いが強くなった。これを端緒としてさらに調査を進めるとBlueToadが漏洩元だと確信できた。Schuetzは密かに同社に連絡を取った。

幸い、BlueToadのCEOは真相解明に進んで協力してくれた。

その夜、8:00を少し回ったころ、BlueToadのCIO、Hutch Hickenから電話があった。彼は私が情報をいきなり公開せず、まず自分たちに報告してくれたことに礼を言った。彼は「状況を調査しているが、まだ正確なことはわからない。3月のハッキング被害(これにはすでに気づいていた)は無関係だと思うが、あなたが発見した情報は憂慮すべき内容だ」と言った。彼は「なすべきことをするつもりだ」と言い、私に(社外の人間に対するものとしては最大限に)情報を提供すると言った。

さて教訓は? 「国民を監視するのを助けるためにAppleがFBIにデータを渡し、ハッカーがFBIのノートパソコンに侵入してデータを盗み出した」という最初の話はいくらなんでもできすぎだった。それが事実だったらひっくり返るような大事件になっていただろう。しかし本当の漏洩元を突き止めるには一人の熱心なプログラマーがコマンドラインからいくつか命令を打ち込むだけでよかった。いっとき「世紀の漏洩」と騒がれた事件だったが、結局は高校生のワルガキがアプリ配信サービスのデータベースに侵入しただけといったことだったのかもしれない。

[原文へ]

(翻訳:滑川海彦 Facebook Google+