1 ポイント 投稿者 GN⁺ 4 시간 전 | 1件のコメント | WhatsAppで共有
  • Microsoftは、アカウントに紐づくWindowsインストールごとに付与される Global Device Identifier(GDID) の存在を公に確認し、米検察はScattered Spiderのメンバーとみられる人物を追跡した連邦告訴状にこれを記録した
  • WindowsのサービスチェーンがGDIDを生成してMicrosoftサーバーへ送信し、アップデート後も維持する。割り当てを防ぐと、Windowsのライセンス認証とMicrosoft Storeアプリに影響する可能性がある
  • FBIは約8か月にわたり、VPNとプロキシを利用して4か国を移動したPeter Stokesの活動を同じGDIDで結び付け、ngrokアカウント作成と被害を受けた小売業者へのアクセス記録をソーシャルメディア・渡航情報と照合した
  • GDIDには同意・リセット・無効化機能や一般ユーザー向けの文書がなく、Windowsを新規インストールして値が変わっても、同じMicrosoftアカウントにログインすると過去の活動と再び結び付けられる可能性がある
  • ローカルアカウントとプライバシー設定で関連する追跡を減らすことはできるが、GDID自体を直接オフにすることはできず、Microsoftもユーザーによる制御や追加文書を提供する計画を明らかにしていない

Windowsインストールを識別する持続的ID

  • Global Device Identifier(GDID) は、WindowsがMicrosoftアカウント向けにプロビジョニングされる際に、そのWindowsインストールへ付与されるデバイスレベルの識別子である
  • 物理デバイスや仮想マシンにインストールされたWindows OSを、一部のMicrosoftサービスや利用シナリオで一意に区別するよう設計された持続的識別子である
  • Windows Update後も維持されるが、ディスクを消去してWindowsを新規インストールすると、既存のGDIDは保持されない
  • 1人のユーザーが複数のGDIDを持つ可能性があり、Microsoftはアカウント・OneDrive・ライセンス認証履歴を通じて、それらを相互に関連付けられる
  • 16億人のWindowsユーザーに対し、個別の公開やユーザー制御なしにバックグラウンドで適用されてきており、Microsoftアカウントに紐づくすべてのWindowsインストールに存在する

生成からMicrosoftサーバーへの報告まで

  • 複数のWindowsサービスが連鎖的に動作してGDIDを生成する
    • wlidsvcサービスがlogin.live.comDevice PUIDを要求する
    • Connected Devices Platformがこの値をMicrosoft Device Directory Serviceに登録する
    • Delivery Optimizationは、PCがアップデートをダウンロードまたは共有する際にGDIDをMicrosoftへ報告する
  • 識別子はHKCU\SOFTWARE\Microsoft\IdentityCRL\ExtendedPropertiesレジストリのLIDキーに保存される
    • 小文字のgプレフィックスと10進数の数字を組み合わせた形式である
    • 通常のWindowsインターフェースでは、ユーザーが自分のGDIDを確認することはできない
  • GDIDの割り当てをブロックすると、Windowsのライセンス認証とUWPアプリが動作しない可能性がある
    • Microsoft Activation Scriptsを作成したMassgraveによると、Windowsのセットアップ過程でハードウェア情報がMicrosoftへ送信され、Storeアクセスとライセンスに使われる識別子が返される

FBIがVPNセッションを結び付けた方法

  • FBIは、Scattered SpiderのメンバーとみられるPeter StokesをVPN接続とプロキシサーバーの向こう側で追跡するためにGDIDを利用した
    • 追跡は約8か月続き、活動地域は4か国にまたがった
  • 告訴状によると、g:6755467234350028は、攻撃に使われたアカウントがTzulo VPNプロキシ経由で作成された時点でngrokの登録ページにアクセスした
    • 3時間後、同じGDIDが同一のプロキシ経由で被害を受けた小売業者のWebサイトにアクセスした
  • 捜査当局は、当該デバイスをStokesのSnapchat・Facebook・Apple・Ubisoftアカウントに紐づくIPアドレスと照合した
    • 関連するアクセス場所にはエストニア、ニューヨーク、タイなどが含まれる
    • StokesがSnapchatで公開した写真は、ホテル予約と場所、GDIDに紐づく旅行日程と一致した
  • VPNのIPアドレスは頻繁に変わったが、Windowsインストールが同じ識別子を報告し続けたことで、VPNセッションをまたいだ追跡の手がかりとなった

見えない識別子とユーザー制御の限界

  • GDIDが割り当てられる際に同意画面は表示されず、ユーザーがリセットまたは無効化できる機能もない
    • Appleの広告識別子は、App Tracking Transparencyの通知とリセット機能を提供している
    • Androidも同様の制御機能を提供している
  • Windowsを再インストールすると新しいGDIDが作成されるが、同じMicrosoftアカウントにログインすると、Microsoftは新しい識別子を過去の活動と関連付けられる
  • Microsoftの公開文書では、企業IT管理者向けのAzure Monitor参照表でGDIDを「Microsoftが内部的に使用する識別子」と記した1文がすべてである
  • セキュリティ研究者のMatthew Hickeyは、この事件についてWindowsを「監視ソフトウェア(surveillance software)」だと評した
  • Costin RaiuはThree Buddy Problemポッドキャストで、他のプラットフォームにもどれほど似た機能が存在するのかを問いかけた
  • 主要なOSはライセンスとセキュリティ検査のために持続的なデバイス識別手段を維持しているが、WindowsはApple・Googleのプラットフォームと異なり、ユーザーに見える制御機能を提供していない

関連する追跡を減らす設定

  • GDIDは中核的なWindows機能を損なわずに直接オフにすることはできないため、次の設定は関連する追跡を減らすための措置に当たる
    • 可能であればMicrosoftアカウントではなくローカルアカウントを使用する
      • 最近のWindows 11ではローカルアカウント設定がより難しくなっているが、方法を知っているユーザーはインストール過程で依然として選択できる
    • 設定 → プライバシーとセキュリティ → 診断とフィードバックで任意の診断データをオフにする
    • プライバシーとセキュリティ → おすすめと提案でパーソナライズ広告とアプリ起動追跡を無効化する
    • プライバシーとセキュリティ → 検索でCloud Content Searchをオフにし、ローカル検索がBingへ送信されないようにする
    • Activity Historyとその他のテレメトリオプションを確認して無効化する
  • 報道活動、社会運動、家庭内暴力のように識別子の持続性が脅威となり得る状況では、Windows PCと商用VPNに依存せず、Tor経由でLinuxを使用することが推奨される
  • 新しいGDIDを得るためにWindowsを再インストールしても、同じMicrosoftアカウントにログインすると、過去の活動と結び付けるデータがMicrosoftに提供される

限定的な公開範囲と今後の状況

  • 召喚状のような法的要請は、MicrosoftにGDID活動データを捜査機関へ提供するよう強制でき、Scattered Spider事件が実例となった
  • MicrosoftはGDIDの生成・保存・報告方法を変更する方針を示しておらず、一般ユーザー向けの制御機能や文書提供も約束していない
  • 連邦告訴状以外に公開されている資料はAzure Monitor文書の短い項目だけであり、現在の告訴状におけるMicrosoftテレメトリ関連部分が、GDIDの動作方式を最も詳しく示す公開資料である
  • Scattered Spider事件は米国連邦裁判所で手続き中であり、ユーザーは今後のMicrosoftのプライバシー関連アップデートを確認できる

1件のコメント

 
GN⁺ 4 시간 전
Lobste.rsの意見
  • 理解できないのは、Windows GDID が Microsoft 外のサービスでの活動とどう結び付くのかという点。デバイスがそれらのサービスに GDID を送っているのか、それとも Microsoft がすべてのユーザーのブラウザー活動を保存しているのかが気になる。後者なら、Edge でのみ収集しているのか、ほかの手段も使っているのかも疑問

    • 技術メディアの報道はしばしば不正確なので申請書を直接確認したところ、Microsoft のログを通じて GDID が .168 の VPN IP アドレス と結び付けられており、近い時刻に同じ VPN IP でハッキングに使われた ngrok アカウントが作成されていた。
      ただし、その VPN IP を当時複数人が共有していた可能性もあるため、決定的な証拠とは言いにくい。殺人事件のとき近くにいたからといって殺人犯とは限らないが、容疑者にはなり得るのと似ている。出所不明の富を誇示し、有罪判決を受けたハッカーたちについて語っていた状況も疑いを強めただろうが、捜索差押えで流出データが発見された事実のほうがはるかに説得力がある。
      ここで GDID が特別な役割を果たしたようには見えない。Microsoft が FBI に情報を渡す際、自社の分析に GDID を使ったため関係しているだけで、アカウント情報と結び付いた IP ログを収集するほかの企業でも同じように通報できたはず
    • Windows が GDID を Microsoft に送り、Microsoft が IP アドレスと時刻 を記録する仕組みではないかと推測する。これを VPN セッションや Web サーバーアクセスのように IP・時刻・特定の行動を記録する資料と照合すれば、時間に沿ったユーザー活動を結び付けられる
  • 関連する 裁判所への申立書 はここにある: https://www.justice.gov/usao-ndil/media/1450651/dl?inline

  • Microsoft の確認は重要ではなく、そのような声明がなくても その機能の存在 はすでに立証されていた。
    セキュリティ研究者の Matthew Hickey がこの件について Windows を「監視ソフトウェア」と規定したらしいが、笑わせる話だ。Windows がスパイウェア だという評価は、遅くとも Windows 10 の発売時から出ていた