1 ポイント 投稿者 GN⁺ 3 시간 전 | 1件のコメント | WhatsAppで共有
  • Scattered Spiderに関連する容疑をかけられている19歳のPeter Stokesの事件で、FBIがMicrosoftの**Global Device ID(GDID)**記録を使い、Windows PCとオンライン活動を結び付けていたことが明らかになった
  • GDIDは、Microsoftのサービスやシナリオ全体でWindowsインストールを識別する持続的なデバイスレベル識別子で、物理デバイスと仮想マシンの両方に適用され得る
  • 刑事告訴状には、2025年5月12日19:21 UTCにStokesのコンピューターに紐づくGDIDが、ngrokのサインアップページとTzuloサーバー上の複数のサイトにアクセスした記録が含まれている
  • GDIDはWindows Update後も維持されるが、再インストールすると新しい値に変わり、1人のMicrosoftユーザーが複数のGDIDを持つ可能性がある
  • この事件により、サードパーティCookieがなくてもWindows PCのオンライン活動が追跡され得るとの懸念が高まり、一部のユーザーはGDIDの確認・削除方法を探し始めた

逮捕事件で明らかになったGDIDの利用

  • 米国は欧州から19歳のPeter Stokesの身柄引き渡しを受けた。彼はハッキンググループScattered Spiderの一員だという容疑をかけられている
  • 公開された刑事告訴状では、Microsoftの記録がStokesを疑われるハッキング犯罪に結び付ける重要な手掛かりとして使われた
  • Stokesは2025年5月、名称が公表されていない高級宝飾品小売業者をハッキングした疑いがあり、その際にVPNを使用したと記録されている
  • FBIはMicrosoftの記録を通じて、彼のIPアドレスが**Global Device ID(GDID)**というMicrosoftのデバイス識別子に紐づいていることを確認した

GDIDが識別する対象

  • 告訴状で引用されたMicrosoft側の説明では、GDIDはWindowsエコシステムにおける持続的なデバイスレベル識別子と定義されている
  • この識別子は、Windowsオペレーティングシステムのインストールを一意に区別するよう設計されている
    • ノートPCや携帯電話のような物理デバイスが対象になり得る
    • 仮想マシンも含まれる
    • 特定のMicrosoftサービスやシナリオ全体で使用される
  • アカウントやデバイスに一意のIDを付与する慣行は一般的だが、今回の事件ではGDIDがサードパーティサービスへのアクセス記録やその時点とまで結び付けられ得ることが明らかになった

オンライン活動と結び付いた記録

  • Stokesは、宝飾品小売業者のネットワーク防御を回避するため、Web開発ツールngrokを悪用した疑いがある
  • Microsoftの記録には、2025年5月12日19:21 UTCにStokesのコンピューターに紐づくGDIDがhttps://dashboard[.]ngrok.com/signupにアクセスしたと残っている
    • このURLはngrokアカウントを設定するページである
    • 同じGDIDは、他のngrokページにもアクセスしたと記録されている
  • 文書には、このGDIDがハッキングの実行を助けるため、WebホスティングプロバイダーTzuloのサーバー上の「複数のサイト」にアクセスしたという内容も含まれている
  • 告訴状に示されたStokesのPCのGDIDは6755467234350028である

追跡可能性とユーザーの反応

  • 連邦捜査官がMicrosoftの識別子で疑われるハッカーを特定したことから、監視目的での悪用への懸念が高まっている
  • サイバーセキュリティ専門家のMatthew HickeyはXで「Microsoft Windows is surveillance software」と主張した
  • GDIDはMicrosoftのあるサポートページで短く言及されているが、Microsoftはそれ以外に公に説明していない
  • 一部のユーザーは、GDID識別子を制限または削除する方法を探し始めた

再インストールと他プラットフォームに残る疑問

  • 告訴状によると、GDIDは同じデバイス上のWindowsオペレーティングシステムのアップデート後も維持される
  • Windowsを同じデバイスまたは別のデバイスに再インストールすると、新しい一意のGDIDが紐づけられる
  • 告訴状の脚注は、1人のMicrosoftユーザーが複数のGDIDを持ち得るとしている
  • サイバーセキュリティ研究者のCostin Raiuは、一意の識別子の使用を根拠に、他のテクノロジー企業も同様の監視能力を持つのか疑問を呈した
    • Appleデバイスでも同じ規模で起きるのか
    • 再インストールとは関係なくハードウェアに紐づくレベルなのか
    • 完全な匿名性を望むなら、開発環境でLinuxやFreeBSDなどを使い、プロキシ、Tor、VPNなどを経由する必要があるかもしれないと述べた

1件のコメント

 
GN⁺ 3 시간 전
Hacker News の意見
  • 興味深いのは、デバイス識別子が存在するという事実そのものではない。現代のほぼすべてのOSには似たようなものがある。 より大きな問題は境界だ。どのコンポーネントがアクセスできるのか、ローカル識別子がいつリモート追跡識別子になるのか、という点だ。 ディスク上に置かれた machine-id と、OSベンダーがそれをネットワーク活動と関連付けることはまったく別物だ。

    • この記事で最も大きく欠けているのがまさにそこだ。Microsoft のデバイス識別子が正確にどのように ngrok セッションと結び付いたのかが分からない。通常、ngrok セッションはクローズドソースのCLIで開始される。 記事だけでは、Microsoft が何らかの怪しい方法でデバイス識別子をネットワークトラフィックに注入したのか、それともクローズドソースの ngrok クライアントソフトウェアがデバイス識別子を取得したのかを区別できない。後者なら、Linux の /etc/machine-id のように他のOSでも同じことができる。 ngrok はフリーミアムモデルを採っているので、無料枠の回避を試みるユーザーを見つけるためにクライアントがデバイスIDを送っていても、まったく驚きではない。
    • Systemd は複数の主要な Linux ディストリビューションに含まれており、例えば machine-id がある。この値は /etc/machine-id の下にあり、そのマシン上の誰でも読める。 https://www.freedesktop.org/software/systemd/man/latest/mach...
    • Firefox の about:networking#networkid にある NetworkID も似た例だ。かつて議論になったことがあり、あらゆるAIがその起源と用途について誤った情報を持っている。
    • この部分は不明確で、間違いなく最も興味深い点だ。どの段階のどの時点で GDID がツールやWebリクエストと関連付けられたのかが核心だ。 現時点の記事だけを見ると、Microsoft の「テレメトリ」がすべてを収集し、特定の活動を大量検索したうえで GDID を引き出してユーザーと結び付けたかのように聞こえる。
  • これは Microsoft がエンドポイント上で何らかの形のトラフィック分析を行い、それを GDID と結び付けているという意味に見える。おそらく Defender のリアルタイム保護か MAPS の一部だろう。 ちなみに、Microsoft Defender MAPS の以前の名前は SpyNet だった。 https://en.wikipedia.org/wiki/Microsoft_Active_Protection_Se... ただし GDID 識別子はソフトウェア的な性格のものに見える。もっと攻撃的にやるなら、一部のゲームのようにマザーボードのシリアル番号にひも付けることもできる。そうすれば Windows のインストールインスタンス単位ではなく、ハードウェアの全ライフサイクルにわたって追跡される。

    • SecureBoot と TPMチップの発想は、まさにハードウェア指紋ベースで GDID を提供することだ。一部のゲームはすでに「チート対策」という名目でこのようにユーザーを追跡しており、Microsoft も Windows 7 の時代からやってきた。 変わったのは、今では TPM がそのようなハードウェア上の権威を提供するという点だ。
  • まもなく、この容疑者の識別子を「g:6755467234350028」に変えてくれる Windows ツールが出てきそうだ。ちなみに奇妙なIDだ。16桁なのは分かるが、16進数だと思っていた。 それから「Microsoft の記録によれば、2025年5月12日 19:21 UTC に Stokes のコンピューターに関連付けられた GDID が、複数の ngrok ページのうち 'https://dashboard[.]ngrok.com/signup' にアクセスした」というのがどう動作するのか気になる。 ブラウザがその情報を Microsoft に送っているのだとしたら、PC が開くすべてのWebページごとに Microsoft へ接続していることに誰かが気付かなかったのだろうか。あるいはデータをためておいて後で送る方式なのだろうか。 だとすると、これは Microsoft ブラウザのユーザーにだけ「限定的に」影響するのか。それとも Chrome も同じように Google にデータを送っているのか。 別の可能性としては、もっと低いレイヤーで起きていることだが、システムコンポーネントがドメイン名にアクセスできる場所は思い浮かぶ一方で、完全なURLまで見られる場所はよく分からない。

    • すべて並行構成だ。 https://en.wikipedia.org/wiki/Parallel_construction
    • おそらく Edge の Microsoft Defender SmartScreen だったのだと思う。訪問したドメインが既知のマルウェアやフィッシングサイトかどうか確認するために Microsoft に送信される。 そしてここで分かるように、その情報は GDID および Microsoft アカウントと結び付けられ、法執行機関の要請でアクセス可能になる。
    • それは64ビット整数の10進表現だ。
    • そのURLではブロックされたリクエストが16件見えており、少なくとも datadog と googletagmanager を読み込もうとしている。警察が、Ngrok が直接または間接的にデータを送っているすべての分析会社に連絡し、それらの会社が入手したものをすべて保存していたのだろうと推測する。 最も驚くのは、その人物がこのすべてを Windows 環境で行っていたという点だ。しかし捕まった間抜けな犯罪者の話だけを聞くことになるのだから、結局は筋が通る。
    • Edge ではないブラウザでも、OS は HTTPS 接続からドメイン名を取得でき、ウィンドウタイトルとして設定されるページタイトルも分かる。 多くの場合、それだけでURLを特定するには十分そうだ。例えば登録URLはタイトルを「ngrok Sign Up」に設定している。
  • これは、Microsoft がクッキー同意画面のタイトルで何を主張していようと、プライバシーを気にしていないことをかなり強く示している。 まったく気にしていないし、これはすべてのビッグテックベンダーについて言うべきことだ。陳腐に聞こえるとしても、今こそ言うべきことを言う時だ。彼らはあなたのプライバシー、独立性、幸福を気にしていない。本当に気にしていない。

  • この子は自宅で自分のコンピューターを使い、彼らはIPアドレスで追跡し、そのIPアドレスは Windows Updates のリクエストも送っていた。そうして Device ID が絞り込まれ、そのデバイスIDがこの子につながった。 プライバシー擁護者たちがずっと警告してきたのは、まさにこの種のことだ。このような能力は、事実上すべてのプライバシーに関する主張を消し去ってしまう。 さらに Google のような企業は、これを利用してプライバシーへの期待そのものを完全になくさせるようにしてきた。

  • 文章が曖昧。Microsoft が、ユーザーが Chrome や Firefox でどの Web ページを訪問したかを見られるという証拠はない

    • 上の返信にはこういう内容がある
      1. Microsoft records also indicate: a little more than three hours after the ngrok account was created, the user visited “[Company F].com” from the .168 proxy server.
    • Edge でも以下のオプションをオフにしている場合は同様

      Send optional diagnostic data to improve Microsoft products [Includes how you use the browser, websites you visit, and enhanced error reporting. Determined by your Windows diagnostic data setting] Allow Microsoft to save your browsing activity including history, usage, favourites, web content, and other browsing data to personalise and improve Microsoft Edge and Microsoft services like ads, search, shopping, news, and Copilot [Includes your history, usage, favourites, web content and other browsing data]

  • これ、欧州の個人情報保護法違反ではないのか?

    • おそらくそうだろう。ただし、高価な宝石を自宅住所に送らせるために Web サイトをハッキングしたケースなら、あまり意味はないかもしれない
    • 違反だったとして何が変わるのか? ひどい振る舞いを続けながら、6時間分の売上に相当する罰金を食らうだけだろう
    • GDPR は個人識別情報だけを扱っており、これは OS をインストールするたびに変わるランダム生成 ID だ 他の情報と組み合わせればユーザーを追跡できるが、それだけで誰かの匿名性を解除するには十分ではない
  • 狂った話に聞こえるかもしれないが、この種のテレメトリは、ここ数年 VPN 広告が大規模かつ組織的に押し出されてきた背景と、何らかの形で結びついていると確信している だんだん「市場の見えざる手」は、文字通り権力と資本を持ついくつかの巨大集団の手のように見えてくる。彼らが市場全体の経済構造を形作って事実上支配し、傾斜を作って企業に損失を最適化させている VPN は、追跡能力を直接高めるスパイウェアなのかもしれないし、今では IP なしでも追跡できるので、ユーザーの恐怖で金を稼ぎながら追跡を続けるために提供されているのかもしれない もっと広く見れば、自由市場や民主主義はあまり残っていないように見える。今ではどの政府も、個人情報保護をなくそうと組織的に押し進めている

  • 米国のテック業界は急速にロシアや中国のようになりつつある

    • facebook という Web サイトを聞いたことがある?
    • 米国人が何かをするとき、なぜ必ずロシアと中国を引き合いに出さなければならないと感じるのか分からない ただし、自分の宣伝が下手なだけかもしれない。これを「中国式」の行動と呼べば、「Black Crime」から自分を守るという理由で、普段ならこういう行動を支持する特定の集団に刺さるかもしれない
  • Massgrave.dev の開発者たちが GDID メカニズムの一部を説明している関連スレッド https://x.com/massgravel/status/2074304593303892354

    • Twitter アカウントを作りたくない人向けの便利リンク https://xcancel.com/massgravel/status/2074304593303892354 今の自分のコンピューター/場所からだと、このサイトのボット対策に嫌われているようだが、他の人にはうまく動くことを願う