先週、複数のAppleアプリが、許可されていないにもかかわらずユーザーデータを収集していたという報告が研究者によってなされ、集団訴訟に発展した。しかし、その後の調査で、状況は当初の想定よりもさらに深刻である可能性が示唆された。Twitterアカウント「Mysk」で投稿している同じ2人のiOS開発者(そして「時折セキュリティ研究者も」)が、今度はAppleに送信された使用状況データに固有のID番号を発見したと主張している。これは、Appleが主張する「こうしたデータはすべて匿名である」という主張と矛盾しているように思われる。
「Appleの分析データには『dsId』と呼ばれるIDが含まれています」と彼らはツイートした。「これはiCloudアカウントを一意に識別するIDです。つまり、Appleの分析によって個人を特定できるということです。」
彼らは、収集されたデータに一貫した DSID (ディレクトリ サービス識別子) 番号が出現することを、6 部構成のスレッドで実証しています。このスレッドには、リアルタイムで行われているプロセスのビデオも含まれています。
🚨 新たな発見:
— マイスク🇨🇦🇩🇪 (@mysk_co) 2022年11月21日
🧵 1/6
Appleのアナリティクスデータには「dsId」と呼ばれるIDが含まれています。「dsId」は「ディレクトリサービス識別子」であり、iCloudアカウントを一意に識別するIDであることが確認されました。つまり、Appleのアナリティクスは個人を特定できる可能性があるということです👇 pic.twitter.com/3DSUFwX3nV
DSIDは「あなたの名前、メールアドレス、そしてiCloudアカウント内のあらゆるデータ」と関連付けられており、Apple(そして理論的にはサードパーティの広告パートナー)は、あなたがクリックしたアプリや表示した広告をあなたに特定できる可能性があると研究者らは述べている。もちろん、Appleが実際にはDSIDを参照しておらず、データの匿名性を維持している可能性もあるが、ミスク氏の調査結果にDSIDが含まれているという事実は懸念すべきものだ。
これは、Appleのデバイス分析とプライバシーに関する声明にも矛盾しているように思われます。同声明では、「収集された情報はいずれも個人を特定するものではありません」と明確に述べられています。さらに、同じ文書の後半部分では、Appleは「エンドツーエンドの暗号化を用いて同期することで、Apple製アプリの使用状況データをデバイス間で相関させる場合がありますが、その際、Appleは個人を特定できない方法で行います」と述べています。
The Verge が指摘しているように、Apple の別の App Store プライバシー規約は多少矛盾していて曖昧で、「閲覧、購入、検索、ダウンロードに関する情報は、App Store またはその他の Apple オンラインストアにサインインしているときに、IP アドレス、ランダムな一意の識別子 (発生した場合)、および Apple ID とともに保存されます」と述べています。
ミスク氏によると、Appleに送信された詳細情報は、「iPhoneアナリティクスを共有」オプションを無効にしても影響を受けなかったという。調査で問題視されたApp Storeやその他のiOSアプリを使用しないことを選択する以外に、これを防ぐ方法は見当たらない。Appleは今月初めに初めて浮上したこの主張に対して、まだ回答していない。
近年、多くのスマートフォンユーザーはデータ収集に関して懐疑的な見方をするようになっており、Gizmodoによるこの記事への記事への肩をすくめるようなコメントからもそれが見て取れます。「大手IT企業はみんなデータ収集をしているし、自分は直接被害を受けていない、と人々は自分に言い聞かせている」。しかし、明確にデータ収集を行わないと約束しているという矛盾はさておき、Appleはこれまで長らくプライバシー重視のIT企業を標榜してきたため、今回の暴露はAppleにとって痛手となる可能性がある。この原則は、詳細なユーザーデータの流入から利益を得ることになるAppleの成長著しい広告事業と衝突する可能性がある。
著者: David Price、Macworld編集者
デビッドは20年以上テクノロジーについて執筆しており、2007年の最初のiPhoneの発売を取材した際にAppleの熱狂に乗った。彼は熱心なApple Watchの伝道師であり、HomePodは誤解されていると感じている。
