MicrosoftはWindows Device IDでユーザーを追跡できる可能性
(pcmag.com)- Scattered Spiderに関連する容疑をかけられている19歳のPeter Stokesの事件で、FBIがMicrosoftの**Global Device ID(GDID)**記録を使い、Windows PCとオンライン活動を結び付けていたことが明らかになった
- GDIDは、Microsoftのサービスやシナリオ全体でWindowsインストールを識別する持続的なデバイスレベル識別子で、物理デバイスと仮想マシンの両方に適用され得る
- 刑事告訴状には、2025年5月12日19:21 UTCにStokesのコンピューターに紐づくGDIDが、ngrokのサインアップページとTzuloサーバー上の複数のサイトにアクセスした記録が含まれている
- GDIDはWindows Update後も維持されるが、再インストールすると新しい値に変わり、1人のMicrosoftユーザーが複数のGDIDを持つ可能性がある
- この事件により、サードパーティCookieがなくてもWindows PCのオンライン活動が追跡され得るとの懸念が高まり、一部のユーザーはGDIDの確認・削除方法を探し始めた
逮捕事件で明らかになったGDIDの利用
- 米国は欧州から19歳のPeter Stokesの身柄引き渡しを受けた。彼はハッキンググループScattered Spiderの一員だという容疑をかけられている
- 公開された刑事告訴状では、Microsoftの記録がStokesを疑われるハッキング犯罪に結び付ける重要な手掛かりとして使われた
- Stokesは2025年5月、名称が公表されていない高級宝飾品小売業者をハッキングした疑いがあり、その際にVPNを使用したと記録されている
- FBIはMicrosoftの記録を通じて、彼のIPアドレスが**Global Device ID(GDID)**というMicrosoftのデバイス識別子に紐づいていることを確認した
GDIDが識別する対象
- 告訴状で引用されたMicrosoft側の説明では、GDIDはWindowsエコシステムにおける持続的なデバイスレベル識別子と定義されている
- この識別子は、Windowsオペレーティングシステムのインストールを一意に区別するよう設計されている
- ノートPCや携帯電話のような物理デバイスが対象になり得る
- 仮想マシンも含まれる
- 特定のMicrosoftサービスやシナリオ全体で使用される
- アカウントやデバイスに一意のIDを付与する慣行は一般的だが、今回の事件ではGDIDがサードパーティサービスへのアクセス記録やその時点とまで結び付けられ得ることが明らかになった
オンライン活動と結び付いた記録
- Stokesは、宝飾品小売業者のネットワーク防御を回避するため、Web開発ツールngrokを悪用した疑いがある
- Microsoftの記録には、2025年5月12日19:21 UTCにStokesのコンピューターに紐づくGDIDが
https://dashboard[.]ngrok.com/signupにアクセスしたと残っている- このURLはngrokアカウントを設定するページである
- 同じGDIDは、他のngrokページにもアクセスしたと記録されている
- 文書には、このGDIDがハッキングの実行を助けるため、WebホスティングプロバイダーTzuloのサーバー上の「複数のサイト」にアクセスしたという内容も含まれている
- 告訴状に示されたStokesのPCのGDIDは6755467234350028である
追跡可能性とユーザーの反応
- 連邦捜査官がMicrosoftの識別子で疑われるハッカーを特定したことから、監視目的での悪用への懸念が高まっている
- サイバーセキュリティ専門家のMatthew HickeyはXで「Microsoft Windows is surveillance software」と主張した
- GDIDはMicrosoftのあるサポートページで短く言及されているが、Microsoftはそれ以外に公に説明していない
- 一部のユーザーは、GDID識別子を制限または削除する方法を探し始めた
再インストールと他プラットフォームに残る疑問
- 告訴状によると、GDIDは同じデバイス上のWindowsオペレーティングシステムのアップデート後も維持される
- Windowsを同じデバイスまたは別のデバイスに再インストールすると、新しい一意のGDIDが紐づけられる
- 告訴状の脚注は、1人のMicrosoftユーザーが複数のGDIDを持ち得るとしている
- サイバーセキュリティ研究者のCostin Raiuは、一意の識別子の使用を根拠に、他のテクノロジー企業も同様の監視能力を持つのか疑問を呈した
- Appleデバイスでも同じ規模で起きるのか
- 再インストールとは関係なくハードウェアに紐づくレベルなのか
- 完全な匿名性を望むなら、開発環境でLinuxやFreeBSDなどを使い、プロキシ、Tor、VPNなどを経由する必要があるかもしれないと述べた
1件のコメント
Hacker News の意見
興味深いのは、デバイス識別子が存在するという事実そのものではない。現代のほぼすべてのOSには似たようなものがある。 より大きな問題は境界だ。どのコンポーネントがアクセスできるのか、ローカル識別子がいつリモート追跡識別子になるのか、という点だ。 ディスク上に置かれた machine-id と、OSベンダーがそれをネットワーク活動と関連付けることはまったく別物だ。
これは Microsoft がエンドポイント上で何らかの形のトラフィック分析を行い、それを GDID と結び付けているという意味に見える。おそらく Defender のリアルタイム保護か MAPS の一部だろう。 ちなみに、Microsoft Defender MAPS の以前の名前は SpyNet だった。 https://en.wikipedia.org/wiki/Microsoft_Active_Protection_Se... ただし GDID 識別子はソフトウェア的な性格のものに見える。もっと攻撃的にやるなら、一部のゲームのようにマザーボードのシリアル番号にひも付けることもできる。そうすれば Windows のインストールインスタンス単位ではなく、ハードウェアの全ライフサイクルにわたって追跡される。
まもなく、この容疑者の識別子を「g:6755467234350028」に変えてくれる Windows ツールが出てきそうだ。ちなみに奇妙なIDだ。16桁なのは分かるが、16進数だと思っていた。 それから「Microsoft の記録によれば、2025年5月12日 19:21 UTC に Stokes のコンピューターに関連付けられた GDID が、複数の ngrok ページのうち 'https://dashboard[.]ngrok.com/signup' にアクセスした」というのがどう動作するのか気になる。 ブラウザがその情報を Microsoft に送っているのだとしたら、PC が開くすべてのWebページごとに Microsoft へ接続していることに誰かが気付かなかったのだろうか。あるいはデータをためておいて後で送る方式なのだろうか。 だとすると、これは Microsoft ブラウザのユーザーにだけ「限定的に」影響するのか。それとも Chrome も同じように Google にデータを送っているのか。 別の可能性としては、もっと低いレイヤーで起きていることだが、システムコンポーネントがドメイン名にアクセスできる場所は思い浮かぶ一方で、完全なURLまで見られる場所はよく分からない。
これは、Microsoft がクッキー同意画面のタイトルで何を主張していようと、プライバシーを気にしていないことをかなり強く示している。 まったく気にしていないし、これはすべてのビッグテックベンダーについて言うべきことだ。陳腐に聞こえるとしても、今こそ言うべきことを言う時だ。彼らはあなたのプライバシー、独立性、幸福を気にしていない。本当に気にしていない。
この子は自宅で自分のコンピューターを使い、彼らはIPアドレスで追跡し、そのIPアドレスは Windows Updates のリクエストも送っていた。そうして Device ID が絞り込まれ、そのデバイスIDがこの子につながった。 プライバシー擁護者たちがずっと警告してきたのは、まさにこの種のことだ。このような能力は、事実上すべてのプライバシーに関する主張を消し去ってしまう。 さらに Google のような企業は、これを利用してプライバシーへの期待そのものを完全になくさせるようにしてきた。
文章が曖昧。Microsoft が、ユーザーが Chrome や Firefox でどの Web ページを訪問したかを見られるという証拠はない
これ、欧州の個人情報保護法違反ではないのか?
狂った話に聞こえるかもしれないが、この種のテレメトリは、ここ数年 VPN 広告が大規模かつ組織的に押し出されてきた背景と、何らかの形で結びついていると確信している だんだん「市場の見えざる手」は、文字通り権力と資本を持ついくつかの巨大集団の手のように見えてくる。彼らが市場全体の経済構造を形作って事実上支配し、傾斜を作って企業に損失を最適化させている VPN は、追跡能力を直接高めるスパイウェアなのかもしれないし、今では IP なしでも追跡できるので、ユーザーの恐怖で金を稼ぎながら追跡を続けるために提供されているのかもしれない もっと広く見れば、自由市場や民主主義はあまり残っていないように見える。今ではどの政府も、個人情報保護をなくそうと組織的に押し進めている
米国のテック業界は急速にロシアや中国のようになりつつある
Massgrave.dev の開発者たちが GDID メカニズムの一部を説明している関連スレッド https://x.com/massgravel/status/2074304593303892354