パスワードを忘れた? アカウント作成
356008 story
プライバシ

Apple、iOS 5ではアプリのデバイス固有ID利用を禁止へ 76

ストーリー by hylom
歴史は繰り返す 部門より

あるAnonymous Coward 曰く、

AppleがiOS 5の新ベータをリリースしたのだが、変更点に「UDID(Unique Device Identifier、デバイス固有ID)の廃止」含まれていたことが判明、各所で話題になっている(CNET JapanWashington PostWirelessWire)。

これに対する、Twitterでの日本の一部の開発者の反応が「UDIDに依存する人々とたしなめる人々にてまとめられているのだが、UDIDがなくなると困る、という人が多い模様。UDIDの代わりにアプリケーション側で固有のIDを作成して利用することは十分に可能なのだが、その場合その固有IDは作成したアプリケーションでしか利用できないため、不満をもつ人が多いようだ。しかし、UDIDはユーザーによる変更が不可能である不変IDであるため、非常に強力な個人トラッキング能力を持つ。さらに、アプリケーションを問わず認証が可能であるため、UDIDを悪用することで個人情報を不適切な方法で取得できる可能性もある。

セキュリティ研究者の高木浩光氏もこの問題に敏感に 反応しており、UDIDを使った行動ターゲティングへの検証実験を呼びかけている

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • 個体識別厨ざまぁ (スコア:5, すばらしい洞察)

    by 90 (35300) on 2011年08月22日 20時50分 (#2007395) 日記

    ということでいいんでしょうか。早くも個体識別番号的なUDIDの利用をしていたところはMACアドレスの利用に動いているようで、もうデバイスごとユニークなものはぜったい読ませないようにするか、逆にユーザのオプトイン同意のもとで使うスマートカードでも内蔵したらいいんじゃないでしょうか。

    • by Metabolic (24452) on 2011年08月22日 21時15分 (#2007409)

      GPSとUDIDで個人が追跡できてしまうような可能性もあるだけに、この措置は当然だと思います。

      Security review finds 68% of top iPhone apps transmit UDIDs
      http://www.appleinsider.com/articles/10/10/04/security_review_finds_68... [appleinsider.com]
      古い記事ですが、appストアのtopアプリの68%はUDIDの収集をしているとも。

      個人的には携帯電話の契約者固有IDの垂れ流しはもっと危険性を感じます…。

      親コメント
    • by Anonymous Coward
      以前別のストーリーで書いたことがあるのだけど、著作権に関しては違法コンテンツそのものだけでなく
      それに対するリンクや短縮URL等も権利の侵害対象として規制をしようとしています。
      ですから、マッピング可能な情報は間接的に害を及ぼす可能性があるって認識はあるはずだと思うんですよ。
      著作権で間接侵害が起こりうるなら、プライバシー情報にも間接侵害が起こりうるのは当然のはずなんですけどね。
    • by Anonymous Coward
      なぜそれほど個体識別をやりたがるのか理解出来ない. 誰か説明してください.
      個体識別するのはそういうプログラム作ってる連中だけの都合であって、使う人間にとっては個体識別など必要無いんじゃないの?

      個人的な体験からすると個体識別だとかネットワーク経由での認証だとかやってるアプリケーションは何かとトラブルや扱いにくい点が多くて二度と使う気がしない.
      • by Anonymous Coward on 2011年08月23日 9時06分 (#2007639)

        >なぜそれほど個体識別をやりたがるのか理解出来ない. 誰か説明してください.
        上手く使えば個人認証がリーズナブルに出来るから、程度は理解してから反論した方が良いと思うよ。

        >個人的な体験からすると個体識別だとかネットワーク経由での認証だとかやってるアプリケーションは
        >何かとトラブルや扱いにくい点が多くて二度と使う気がしない.
        いやいやそれじゃあネット経由の課金サービスは全部成り立たないから。

        デバイス固有IDの問題は「それが他人に漏れる」事でと「変更前提でないから漏れた時に変更し辛い」事であって
        個体識別をする事自体が問題なんじゃないよ。
        サービス上では個体認識自体は必須条項になっていると見てもいい。
        問題はその実現方法だよ。

        親コメント
      • by Anonymous Coward

        個人的な体験からすると個体識別だとかネットワーク経由での認証だとかやってるアプリケーションは何かとトラブルや扱いにくい点が多くて二度と使う気がしない.

        そういう手間をかけさせたりトラブルを減らす為にデバイス固有IDを使って居る業者が居るって事だと思うんだが。

        個体認識としては何らかのソーシャルな仕掛け(何かを買う為に支払元を特定するとか、特定者の発言として記述するとか)の為には必ず必要だよね。
        スラドだって署名してレスするのにはログインしないといけないでしょ。
        ACオンリーでの運用以外なら何らかの識別は必要だと言う事。

  • by iwakuralain (33086) on 2011年08月23日 7時39分 (#2007608)

    利便性や連携を考えると一意のIDというのはとっても便利。
    UDIDが使えなくなれば代わりのものはMACアドレスくらいかな?
    確かに統合して集めていけばアプリの履歴とかわかるので面倒かもしれない。
    でもiPhoneにはiTunesがあるんだから、iTunesはAppStoreがあるので、それを間に入れてセキュリティを確保した上で動的な一意のIDとか割り振るとかでもいいのかな。

    # まぁそれで色々とつっこみどころはあるんでしょうけど

  • by Anonymous Coward on 2011年08月23日 9時25分 (#2007649)
    なぜ個体識別子を収集したがるのか。
    それは「無料アプリ」がなぜ存在できるか考えてみればいいと思う。

    広告を表示するだけで成り立っていると思う?
    この個体はどんな広告を表示するとクリックする確率が上がるか
    分析して考えたいよね。

    どんな個体群がこのサービスを利用したがるのだろう?
    どうすればもっとサービスを利用してくれるだろう?
    そう計画したいよね。

    Tカードなんかもこれと似てると思うんだ。ていうか同じ。
    なんでポイントをくれるんだろうかと考えてみよう。
    なぜファミマで買い物してもらったポイントがTSUTAYAで
    商品に交換できるのだ?

    背景には集客効果のほか、マーケティングがあると思うんだ。
    Tカードを持っている人をTカードを識別子としてトレース
    してるはずなんだよね。
    きっと、あなたがどこで何を何時ごろに買ったのかと、
    Tカードの運用会社では収集しているのではないだろうか?

    これまでのAppleのやり方をみていると、今回の改変はおそらく、
    このマーケティング分野もAppleが握りたいと思ってるんじゃ
    ないだろうかと思う。

    みんな、自分の個人情報をマーケティング会社に売り飛ばして、
    その見返りをもらってるんだよね。
    • オフトピ気味ですが、Tカードのマーケティングについて以前テレビで見て関心したのを思い出したので。

      ガストであまり売り上げの上がらないサイドメニューを廃止したところ、
      Tカードの人がガストに対して、
      「あのサイドメニューそのものの売り上げはたいしたものじゃないが、
      あのサイドメニューを注文してた人は、他のものも結構食べてて、
      しかもあのサイドメニューを廃止してから来なくなった人が多い。
      だからあれ自体の売り上げがたいしたことなくても、
      これを復活すれば全体的な売り上げには大きく貢献する。」

      みたいな内容のプレゼンをしてました。

      こりゃすげーなと思いました。

      なんかみんな個人情報が漏れるってことにヒステリックになってるけど、
      こんな便利に使ってくれるというか、
      たとえば広告ひとつ取っても、どうでもいい広告垂れ流されるより、
      自分にとって興味のある広告をピンポイントで表示してもらえたらうれしいので、
      私としては別にいいんじゃないかと思うんですけどね。

      ま、私の想像出来ていない悪用方法とかがあるのならイヤですけど。

      あと、恥ずかしい趣味の広告が会社でバーンって出たらすげーイヤですね。

      個人情報が漏れるリスクってそーゆーことなのかな。

      親コメント
      • by Anonymous Coward

        ガストバーガーですね。見てました。

        ウチの嫁の好物です。
        私には良さが分からないのですが、
        少なくともウチでは確かに売上向上に貢献している気がします。

    • by Anonymous Coward
      ガッデム!
      TカードのTは Tracking のTだったか・・・・・・
    • そこでなぜ突然Tカードが出てくるのかよく分かりませんが(多分身近な例という話だと思うのですが)、 T会員規約 [ccc.co.jp]の個人情報 [ccc.co.jp]の項で「ポイントプログラム参加企業における利用の履歴」も収集対象になっている上「会員のライフスタイル分析のため」に収集すると明言しています。
      また、そうやって集められた個人情報の利用者は「当社(CCC)の連結対象会社及び持分法適用会社」と「ポイントプログラム参加企業(TSUTAYA加盟店を含みます)」となっています。
      影でこっそりやってるならともかく、利用規約に明言されているもの

      • by Anonymous Coward
        だからTカードは作ってません。
  • そして、 (スコア:1, おもしろおかしい)

    by Anonymous Coward on 2011年08月22日 20時55分 (#2007399)
    メールアドレスを代わりに登録させられるわけだ。
  • Androidの方も (スコア:1, すばらしい洞察)

    by Anonymous Coward on 2011年08月23日 2時40分 (#2007588)

    「端末のステータスとIDの読み取り」を要求してくるアプリ多すぎ。

    • by Anonymous Coward

      入れなきゃいいじゃん。
      使ってるのが事前にわかるだけマシでしょ。

  • あ、あれ……

  • by Anonymous Coward on 2011年08月22日 21時55分 (#2007439)

    GUIDを発行する仕組みとかないの?

    • by onetime_id (39093) on 2011年08月22日 22時09分 (#2007445) 日記

      UUIDの生成は出来るみたいだけど、ソフトを再インストールされた時に別IDになるのがヤダ、といっている模様。

      親コメント
      • by denchu (6847) on 2011年08月22日 22時38分 (#2007461)

        アプリケーション登録時にユーザ名+パスワードあたりで認証し、固有IDを割り振って…
        と思ったんですけど、それが嫌だ。っていう主張なんでしょうかね。

        親コメント
        • by Anonymous Coward

          ユーザーがね。そういう面倒なこと(ユーザー登録)をせず/させずに認証できていたのが今度からできなくなる。
          それからユーザーIDに紐付けるとなると、複数デバイスに無制限にインストール/コピーできることになる。位置ゲーでこれができると、2点間の離れたところで交互に位置登録することであっという間に距離を稼げることになる。

          • by d16 (42817) on 2011年08月23日 0時37分 (#2007530) 日記

            >それからユーザーIDに紐付けるとなると、複数デバイスに無制限にインストール/コピーできることになる。位置ゲーでこれができると、2点間の離れたところで交互に位置登録することであっという間に距離を稼げることになる。

            仕様上で距離を稼げるとして問題があるのだろうか?
            そういう仕様でしか動けないのであれば、それはそういう仕様だということにすぎないからね。

            複数デバイスにインストールしたりコピーできない様にしたければ、
            別の方策をとればよいだけのことなんだな。

            >そういう面倒なこと(ユーザー登録)をせず/させずに認証できていたのが今度からできなくなる。

            仕様にもとづいて必要ならそうすればよいだけのこと。
            簡単に出来ていたからといって他者の資源であるUDIDを自分勝手に使おうと
            していたのが、それこそ問題なのではないかな?
            愚行に基づく慣習でも、慣習だから残すべしという意見は、愚行に基づく
            愚かなモノが延命するだけなので、無意味ということなんだけどね。

            親コメント
          • by FiddleStick (42278) on 2011年08月23日 1時02分 (#2007547)
            > 複数デバイスに無制限にインストール/コピーできることになる。

            それが不都合だという開発者がいることは理解できるんですが、iOSアプリってもともとAppleIDと紐づけてデバイス5台までインストール可じゃなかったでしょうか?
            そのルールを前提に開発するのが筋かと・・・。
            親コメント
          • by Anonymous Coward

            >ユーザーがね。

            そりゃ、典型的な
            「あなたのためだから。だから俺のために犠牲になれ」
            ですよね。

            必要十分な規制はまさに必要です。

      • by manmos (29892) on 2011年08月23日 10時01分 (#2007670) 日記

        真の理由は、複数のアプリケーションでの行動トラッキングの際の「名寄せ」です。

        各アプリでIDをふったものは、他のアプリで見ることはできませんが、UDIDなら共通ですから。

        親コメント
  • by Anonymous Coward on 2011年08月22日 23時24分 (#2007490)

    高木浩光という人の最後の敵、それは「システム」そのものであった。

    # 全てのパワーをCPUに!
    # いやですとも!

  • by Anonymous Coward on 2011年08月22日 23時56分 (#2007505)
    住基ネットや国民総背番号制推進派の方々が多かったように思いますし、
    そういう方達はもちろん、UDIDに温存派ですよね。
    それとも、政府がやるのには賛成だけど、民間企業には反対?
    • by Anonymous Coward on 2011年08月23日 0時05分 (#2007511)

      >住基ネットや国民総背番号制推進派の方々が多かったように思いますし、
      >そういう方達はもちろん、UDIDに温存派ですよね。

      問題の程度が違いますね。

      たとえば、国民を識別できる番号について
      「第三者が勝手に他人の番号を割り出すことができ、またそれを集めることもできる」
      としたら問題でしょう。

      UDIDについて言えば、そのような状態です。
      IOSアプリはUDIDを抜き放題で、オマケにアドレス帳なども抜き放題。
      外部送信も勝手にできます
      (「利用者確認のダイアログを出すこと」などの指針にはみな従っていません)。

      ですので、UDIDとアドレス帳をセットで抜かれてしまえば、
      前述
      「第三者が勝手に他人の番号を割り出すことができ、またそれを集めることもできる」
      が簡単に遂行できます。

      その点で、国民背番号制などとは問題のレベルが違います。
      IOSのセキュリティはとっくの昔から崩壊しているのですから。

      親コメント
      • by Anonymous Coward

        ちょっと待った
        >(「利用者確認のダイアログを出すこと」などの指針にはみな従っていません)。

        なんでそんなソフトがチェックに引っかからないの?
        Big Brotherは個人の思想^H^H情報管理をしたいわけだから,自身が規約に引っかからない
        ようにするため?

        #妄想だろうけど,位置情報を密かに集めていて,大事になってからバグだと言い逃れを
        した前歴はあるから,疑う価値は十分にあります.しかも,うちのデバイスからは,
        そのバグが削除されてないし.

        • by Anonymous Coward on 2011年08月23日 0時41分 (#2007534)

          >なんでそんなソフトがチェックに引っかからないの?
          >Big Brotherは個人の思想^H^H情報管理をしたいわけだから,
          >自身が規約に引っかからないようにするため?

          まず、「確認ダイアログを出すのが基本方針」程度であれば、
          完全ブッチしてもAppleの審査は通ります。
          この辺は正直Appleもあまり見てないのが実情でしょう。
          アドレス帳を全部ぶっこ抜いて外部送信するのも簡単です。

          その先として、本来は審査を通らないはずのマルチタスクAPIなどを使ったって
          Appleの審査を誤魔化す手段はたくさんあります。
          なにせ、「提出されたバイナリをブラックボックステストする」だけですからね。

          たとえば、時限式で審査終わった後に仕込んだ動作を開始させてもいいですし、
          特定サーバにアクセスしたときに
          サーバ上に特定のキーファイルが置かれていたら仕込んだ動作を開始
          (=Appleの審査のときには動作しないようにする)などでもいいわけです。

          親コメント
    • by d16 (42817) on 2011年08月23日 0時39分 (#2007531) 日記

      >それとも、政府がやるのには賛成だけど、民間企業には反対?

      政府がやるにしても民間企業がやるにしても、それに歯止めが
      ない濫用は反対、リーズナブルに了解の上行うのは問題なしと
      いうのが多数意見だと思うけどね。

      誰がやるか?じゃなくてどうやるか?なんだよね。

      親コメント
    • by Anonymous Coward

      脱税を減らせる国民総背番号制は俺にメリットがあるから賛成。
      UDIDは俺にメリットがないから反対。

      • by Anonymous Coward

        >脱税を減らせる国民総背番号制は俺にメリットがあるから賛成。

        ん?もしかして税務署の人?

        国民総背番号制でなんで、脱税を減らせるのかわからない。
        だいたい、脱税している人は、会社作っているから、会社のほうの金を使うはず。
        それとも、国民総背番号の制度では、「お財布」ごとに全部固有IDでも振るつもり?

        • by Anonymous Coward

          > 国民総背番号制でなんで、脱税を減らせるのかわからない。
          わからないんなら黙ってた方が無知がバレないよ。

        • by Anonymous Coward

          それとも、国民総背番号の制度では、「お財布」ごとに全部固有IDでも振るつもり?

          それをしないんなら何のために国民総背番号をやると思ってるの?

    • by Anonymous Coward

      政府がやるのには賛成だけど、民間企業には反対?

      選挙などで民意を反映する手段が存在し、憲法という国家権力の暴走を止める規定が存在し、民間企業に比べたらだいぶマシな情報公開制度が存在し、曲がりなりににでも三権分立三竦み状態になってる政府・国家と、
      一意に経済活動を行って投資に対して最大の収益を上げる事を目的とする民間企業を比べたら、前者の方がだいぶマシだというのは一般的な感覚だと思いますが。

      陰謀脳の持ち主がどう考えるかはしりませんけど。

  • by Anonymous Coward on 2011年08月23日 10時31分 (#2007699)
    脱獄端末ではUDIDやIMEI、MACアドレスなんかのユニークとされる情報もいじり放題だよね。
    こんなのを認証情報に使う頭に蛆が湧いた開発者はいるんだろうか?
    • Re:そもそも (スコア:1, すばらしい洞察)

      by Anonymous Coward on 2011年08月24日 1時16分 (#2008362)

      ガラケーでそれをユーザが変更するのはほぼ不可能だったので安易に使っちゃったんでしょ。
      そのノリのままiOSアプリもUDID依存で作って今さら憤死してるだけ。

      親コメント
typodupeerror

にわかな奴ほど語りたがる -- あるハッカー

読み込み中...