2012年9月11日火曜日

UDID 1200万件

UDID 1200万件が情報漏えいしたようだ。
 「Anonymous」の一派がFBIからApple端末のUDIDを盗んだと公言している
問題で、FBIとAppleがそれぞれ関与を否定するコメントを出している。

FBI
・われわれは問題の情報を持っていなかった。つまり完全なでっち上げだ。
・FBIのノートPCが不正侵入され、Apple UDIDに関する非公開データが流出
 したとの報道については認識している。現時点で、FBIのノートPCが不正
 侵入されたことを裏付ける証拠も、FBIがこのデータを収集していたこと
 を裏付ける証拠も存在しない。

Apple
・FBIがAppleに対してこの情報を要求したことはなく、われわれはFBIにも
 いかなる組織にも、この情報を提供していない。
 間もなく登場予定のiOS 6ではUDIDに代わって新しいAPIを採用し、UDID
 の使用は間もなく禁止される。

いわゆる出会い系掲示板が、携帯電話のUDID相当と電話番号を利用して、
利用者を恐喝、振込み詐欺等の犯罪の温床である報道を見た記憶がある。
しかし、本名までは把握できない。
漏れた個人情報のUDID、電話番号、氏名、支払い情報が含まれれば、
ituneから、そうでなければ、webやアプり等が考えられる。

漏れた個人情報は、米国だけでなく、日本人の氏名が漢字で、表記され
た報道もあり、多言語のようだから、個人やローカル企業のwebやアプリ
では難しいと思う。
会員情報やビッグデータ等による個人情報を収集し、売買している状況を
見ると、漏洩した情報が、一次的な情報なのか二次的なものかも不明。
ストラトフォーは、情報漏えいを最初は否定したが、後に肯定した経緯
もあり、AppleやFBIの発表はその後、変わるかもしれない。

陰謀説からすれば、iphone5発表に合わせた競合会社が、工作した可能性
が高いか。

追記9/12
被害先が判明。専門家が、ダンプリストから、特定文字を発見し、報告、
被害先が対策を行ったようだ。ダンプリスト確認は、地道な作業と思う。

emails of Stratfor
インターポール アノニマス25名逮捕
Big Data 透ける個人情報
オバマ 選挙手法
米財務省 YAKUZAに経済制裁
FATCA 米国籍者との取引き中止か


AntiSec claims FBI spies on Apple customers


Anonymous' UDID Hack Claims 'Totally False,' Says FBI

---アップルUDID流出元が判明--モバイル出版企業がハッキング被害に遭ったことを公表---
Declan McCullagh (CNET News) 翻訳校正: 編集部 2012/09/11 07:46
http://japan.cnet.com/news/service/35021567/

 小規模モバイル出版企業BlueToadは米国時間9月10日、大量のAppleデバイスIDがインターネットに先週流出した件について、同社が流出元だったことを明らかにした。
BlueToadは声明で、同社は「不法なサイバー攻撃の被害に遭い、自社システムからAppleのUDIDが盗まれた」と述べた。UDIDとは一意のデバイス識別子で、Appleは開発者らに対し、プライバシー上の理由から同識別子を使用しないように強く推奨している。
 フロリダ州オーランドを拠点とするBlueToadの発表によって、UDID流出の経緯と流出元がさらに詳細に明らかになった。AntiSecというAnonymousと緩やかな関係を持つハッカーグループが先週に入り、2012年3月にニューヨークのFBI監督者が使用するDell製ノートPCのセキュリティを侵害してUDIDを取得したと主張していた。
 FBIはその翌日にこの主張を否定し、「現時点で、FBIのノートPCが被害に遭ったことを示す形跡はなく、また、FBIがこのデータを求めた、または、取得したということはない」と述べた。
 コンピュータセキュリティ専門家であるDavid Schuetz氏は、データダンプからのUDIDを分析し、最も多く出現するデバイスIDがBlueToadに関連することを発見し、BlueToadのデータベースが侵入の被害に遭ったことを独自に突き止めた。Schuetz氏が同社に問い合わせると、同社は5日に回答し、10日まで公表を待ってほしいと頼んだ。
 Schuetz氏は、インターネットを検索していたときに、「ハッカーらがFBIのコンピュータに侵入したと主張したのと同じ週の3月14日付け」のBlueToadの「部分的なパスワードダンプを発見」したと述べた。BlueToadが10日の声明で、UDIDが盗まれたのは「1週間少し前」のことだと述べたことから、状況はさらに不透明となっており、侵入が複数回あった可能性があることをうかがわせている。
 BlueToadは、雑誌のPDFファイルを「Flash」、HTMLファイル、または「iOS」アプリケーションに変換するなど、出版社が携帯端末にコンテンツを移行できるようにするためのサービスを提供している。


---Apple端末の情報流出にFBI、Appleとも関与を否定---
2012年09月06日 07時22分 更新
鈴木聖子,ITmedia
http://www.itmedia.co.jp/enterprise/articles/1209/06/news024.html

FBIは「完全なでっち上げ」とツイートし、AppleもFBIへの情報提供を否定した。
 ハッカー集団「Anonymous」の一派が米連邦捜査局(FBI)からApple端末のUDIDを盗んだと公言している問題で、FBIとAppleがそれぞれ関与を否定するコメントを出している。
 FBIは9月4日に声明を発表し、「FBIのノートPCが不正侵入され、Apple UDIDに関する非公開データが流出したとの報道については認識している。現時点で、FBIのノートPCが不正侵入されたことを裏付ける証拠も、FBIがこのデータを収集していたことを裏付ける証拠も存在しない」とした。
 これに先立ち、FBI広報のTiwtterでは「われわれは問題の情報を持っていなかった。つまり完全なでっち上げだ」とツイートしていた。
 一方、Apple広報はIT情報サイトAllThingsDの取材に対し、「FBIがAppleに対してこの情報を要求したことはなく、われわれはFBIにもいかなる組織にも、この情報を提供していない」と強調した。さらに、間もなく登場予定のiOS 6ではUDIDに代わって新しいAPIを採用し、UDIDの使用は間もなく禁止されると説明している。


---Apple iOS端末の識別コードをハッカー集団が暴露、FBIのノートPCから流出か---
2012年09月05日 07時50分 更新
鈴木聖子,ITmedia
http://www.itmedia.co.jp/enterprise/articles/1209/05/news015.html

ハッカー集団「Anonymous」の一派が、FBI捜査員のPCから盗み出したとするiPhoneやiPadなどの端末1200万台のUDIDのうち、100万台分を公開した。

 ハッカー集団「Anonymous」の一派が、米連邦捜査局(FBI)の捜査員のノートPCに不正侵入し、AppleのiPhoneやiPadといった端末の識別コード情報約1200万件が同PCに記録されているのを見つけたと主張している。そのうちの100万件とする情報をインターネットで公開し、Twitterで9月3日に発表した。
 公開されたのは、AppleのiOS端末に個別に割り当てられている「UDID」という識別コード100万件分と、各端末の名称や種類などの情報。FBIのファイルにはユーザーの氏名なども記録されていたとしている。
 インターネットに掲載された声明によると、ハッカー集団は2012年3月、ニューヨークのサイバー対策班に所属するFBIの捜査員が使っていたDell製のノートPCに、Javaの脆弱性を突いて不正侵入。ここからダウンロードしたファイルの中に、AppleのiOS端末約1200万台分のUDIDなどが記録されたものがあった。このファイルには各UDIDに関連するユーザー名、端末名、端末の種類、Apple Push Notification Service用のトークン、郵便番号、携帯電話番号、住所などの情報も含まれていたとしている。
 今回公表したのはこの1200万件のUDIDのうちの100万件で、氏名や携帯電話番号、住所といった個人情報は公表を控える一方、端末名や端末の種類など、自分の端末の情報がこの中にあるかどうかをユーザーが確認できるだけの情報は残したとしている。
 情報を暴露した理由については、「FBIが人々を追跡するなどの目的でユーザーの端末情報を利用している」という実態を知らしめるためにやったと主張。「われわれは最初からUDIDのコンセプトが気に入らなかった」として、Appleにも非難の矛先を向けている。
 ハッカー集団が公表した情報が、本当にFBIのPCから盗まれたものかどうかは確認されていない。事実だとしても、FBIがこうした情報を持っていた理由は不明。しかし今回の事態を受けて、流出したUDID情報の中に自分の端末の情報があるかどうかをチェックできるとするWebサイトも登場した。


---iOSデバイスの個体識別コードが情報漏洩の恐れ - さらされた大量のUDID---
2012/09/05
http://news.mynavi.jp/news/2012/09/05/160/

 米ハッカー集団「AntiSec」がiOSデバイスに割り振られる個体識別コード「UDID」などを盗み出し、その一部がネット上にさらされたとして騒ぎになっている。iPhone/iPadなどのiOSデバイスユーザーは事の成り行きを注視したほうがよさそうだ。
 事件はAntiSecを名乗るハッカー集団が1,200万件超ものUDID、ユーザー名、端末名、携帯電話番号、住所などの個人情報を盗みだしたとし、主にUDIDについて100万件の情報がウェブサイト上に公表されたことから始まる。同集団によると、一連の情報は米連邦捜査局(FBI)の1台のノートパソコンから盗み出したと主張している。
 この件に関して、FBIではそうした情報を取得したことも、盗まれた事実もないとして反論、AntiSecの主張と大きな食い違いが生じている。このため、情報の真偽は定かではないものの、AntiSecを名乗る者によって、UDIDと見られる情報が公開されたのは事実であり、腑に落ちない事態となっている。
 UDIDはUnique Device IDentifierの略で、iOSデバイス固有の40桁からなる識別番号。UDIDはアプリの認証などに使用され、UDIDを参照することでそれぞれの端末においてのアプリの利用状況等を確認でき、アップルでは個人情報保護の観点から、アプリ開発者に対して、UDIDの取得を非推奨にしたとされている。一方で、ユーザー側では、このUDIDについて、iOSデバイスをPCもしくはMacと接続してiTunes上で確認できるものの、変更や削除ができない。このため、確固たる自衛手段はなく、本件について今後の展開を注視したほうがよさそうだ。


---iPhone 5 release date: Hackers steal 12.3 million UDID's before iPhone 5 event---
September 5, 2012
By: Christian Savoy
http://www.examiner.com/article/iphone-5-release-date-hackers-steal-12-3-million-udid-s-before-iphone-5-event

Bad news for Apple has recently surfaced. As the company gets prepared for the iPhone 5 release date, they have pretty intense trouble on another front. Members of the group AntiSec, which is a loose association of hackers, has released a million device IDs, as reported by Foxnews. All Apple mobile devices on the list that rely on the operating system iOS are affected. The hackers claim they are in possession of Unique Device Identifiers, user names, names of devices, types of devices zip codes, cell phone numbers and address.

It seems like they were stolen from a laptop of an FBI agent, which could have been infiltrated by a Java scripting vulnerability. According to the hacker group, they found a list of 12.3 million records on the laptop. However, not all the UDID records are posted. The list, which was posted on Tuesday, has been defused so that not all device owner information is available. AntiSec further explained that they had found no evidence to suggest why the FBI is in possession of this list.

The UDID is used by Apple to identify users and to record their usage behavior.The risk of data corruption is very high for the individual when a UDID gets into the wrong hands. Apple has already recognized this danger. With iOS 6, the process changed and developers get no more access to the UDID. Now it remains to be seen how Apple reacts to this situation. Make sure you subscribe to stay updated on this troubling situation.

0 コメント: