米Appleのスマートフォン「iPhone」などのユーザー情報1200万件が流出した件で、デジタル出版会社の米BlueToadはセキュリティ侵害を受けたのは自身であることを現地時間2012年9月10日に明らかにした。1週間余り前に同社システムからAppleユーザーのUDID(端末固有番号)情報が盗まれ、その直後UDIDがインターネットに掲載されたとしている。
この情報漏えい事件は、国際的ハッカー集団「Anonymous」の関連グループ「AntiSec」が9月3日に犯行声明を出し、米連邦捜査局(FBI)のコンピュータからデータを盗んだと主張していた(関連記事:1200万件以上のiOSデバイス情報が流出、ハッカー集団が犯行声明)。AntiSecによると、3月第2週にJavaの脆弱性を利用してFBI捜査官のノートパソコンに侵入し、デスクトップフォルダーからファイルを取得。ファイルには、1236万7232件におよぶiOSデバイスのUDIDやユーザー名、デバイスの名前とタイプ、住所や携帯電話番号などが含まれており、そのうち100万1件のUDIDリストをダウンロード可能なかたちで公開した。
しかしFBIは、「当局のノートパソコンが侵入を受けた形跡はなく、FBI捜査官がこのようなデータを収集あるいは取得したことを示す痕跡もない」と、セキュリティ侵害を否定していた。
BlueToadは、自身が流出元であることに気づくとただちに捜査当局に通報した。すでに脆弱性を修正し、再発防止に向けて対策を講じているという。BlueToadの釈明によると、iOSデバイス名やUDIDを中心とする情報は、開発プラクティスに従って集められたものだが、数カ月前のAppleの勧告に際してプラクティスを変更しており、現在ではUDIDなどを保存していない。また、クレジットカード番号や社会保障番号などの機密情報は以前から収集していないという。
[発表資料へ]
