開発

Windows GDID、Scattered Spider容疑者特定に貢献

FBIがWindowsのGDID(Global Device Identifier)を用いてScattered Spiderグループの容疑者を特定した。OSのテレメトリデータが犯罪捜査に活用される事例として注目される。

8分で読める SINGULISM 編集チームが確認・編集

Windows GDID、Scattered Spider容疑者特定に貢献
Photo by FlyD on Unsplash

米国司法省がScattered Spiderハッキンググループの容疑者Peter Stokesを起訴した件で、FBIがMicrosoft WindowsのGlobal Device Identifier(GDID)を主要な証拠として用いたことが明らかになった。The Registerの報道によれば、同グループは米国内の100以上の企業ネットワークに侵入し、1億ドル以上の身代金を要求したとされる。Stokesの逮捕と身柄引き渡しには、Windows GDIDを含むテレメトリ記録が決定的な役割を果たした。

GDIDの仕組みと歴史

FBI特別捜査官Ali Sadiqの宣誓供述書によると、Microsoftの説明として「GDIDはWindowsエコシステムにおける永続的なデバイスレベルの識別子であり、物理デバイス(携帯電話やノートPC)または仮想マシン上のWindows OSのインストールを、特定のMicrosoftサービスおよびシナリオにわたって一意に識別するために設計されている」とされる。

GDIDの基盤はWindows 10のリリース(2015年)にまで遡ると言われているが、公開ドキュメントでGDIDが明示的に言及されるようになったのは2021年以降である。この識別子はクラッシュダンプやアップデートの追跡以外にも、Microsoftのオンラインサービスを横断したデバイス識別に利用されているとみられる。

GDIDはハードウェアの変更やOSの再インストール後も維持される可能性があり、一度特定のWindowsインストールに結び付けられると、ユーザーが明示的に設定を変更しない限り同じ識別子を送信し続ける。この仕組みは、ユーザーエクスペリエンスの向上やセキュリティ対策に活用される一方で、プライバシーの観点からは追跡可能性の高さが問題視されてきた。

事件の詳細と証拠連鎖

裁判所への提出書類によれば、Scattered Spiderのメンバーはネットワーク障壁を回避するためにngrokというWebトンネリングツールと、TzuloというVPNサービスを使用していた。捜査当局はまずngrokとVPNプロバイダからIPアドレス記録を入手し、その後Microsoftに照会を行った。その結果、ngrokアカウントが作成された時刻に、特定のGDIDを持つWindowsデバイスがngrokのサインアップページにアクセスしていたことが確認された。

宣誓供述書は以下のように説明する。「Microsoftの記録によると、2025年5月12日19:21 UTCに、ngrokの記録上で当該アカウントが作成された時刻と一致して、そのGDIDを持つデバイスが、ngrokのアカウント設定ページである’https://dashboard.ngrok.com/signup’にアクセスしていた」。さらにMicrosoftのGDID記録は、同じWindowsデバイスがngrokによって特定されたIPアドレスに割り当てられたTzuloサーバーへもアクセスしていたことを示した。

そしてこのGDIDは、Stokesが居住していたエストニアのIPアドレスに最終的に結び付けられた。Microsoftは2024年10月の時点で、自社のセキュリティ研究者がStokesを他のグループメンバーと結びつけるオンラインサービステレメトリを引用した刑事告発を司法省に行っていた。

テレメトリ監視の光と影

今回の事例は、OSレベルのテレメトリが犯罪捜査に極めて有効であることを示す一方で、プライバシーに関する懸念を改めて浮き彫りにした。GDIDはMicrosoftの意図した用途を超えて、ユーザーのオンライン行動を長期間にわたって追跡する手段として機能する可能性がある。特に、VPNやトンネリングツールを用いた匿名化の試みも、OSのネイティブなデバイス識別子によって無効化されうる点は注目に値する。

Microsoftは公式には、GDIDを「特定のサービスの改善およびセキュリティ目」のために使用していると説明している。しかし、捜査機関へのデータ提供がどのような基準で行われているのかは、これまで十分に開示されてこなかった。今回の裁判資料でその実態の一部が明らかになったことで、Microsoftにはより透明性の高いデータ取り扱い方針が求められることになる。

業界への影響と今後の展望

Scattered Spiderは2023年から活動が活発化し、MGM ResortsやCaesars Entertainmentなどの大手企業を標的にしたランサムウェア攻撃で知られる。今回の起訴は、こうしたサイバー犯罪グループに対抗するための法執行機関の能力が、プラットフォーム事業者との連携によって強化されていることを示す。

一方で、プライバシー擁護団体からは、OSベンダーが収集するテレメトリデータに対する規制の必要性を訴える声が高まると予想される。欧州連合のGDPRや米国州レベルのプライバシー法では、個人を特定できる情報の収集と第三者提供について明確な同意が求められるが、GDIDのようなデバイスレベルの識別子がどこまで「個人データ」に該当するかは、今後の司法判断に委ねられる部分も大きい。

また、セキュリティ研究者の間では、GDIDの悪用リスクも指摘されている。もし攻撃者がGDIDにアクセスできれば、特定のWindowsデバイスの活動を長期間監視することが理論上可能になる。MicrosoftはGDIDの生成と保存に関する詳細を公開していないが、こうした情報がブラックボックス化されていること自体が、セキュリティ上の課題であるとの見方もある。

編集部の見解

短期的には、今回の事件を契機として、Microsoftを含むOSベンダーに対するテレメトリデータの透明性要求が強まると考えられる。特に欧州の規制当局がGDIDを個人データとみなすかどうかが焦点となる。司法省とMicrosoftの協力関係が明らかになったことで、テクノロジー企業と法執行機関の距離感についての議論が活発化するだろう。

長期的な視点では、OSレベルのデバイス識別子が「常時監視」のインフラとして定着するリスクが否定できない。ユーザーが匿名性を確保するためにVPNやTorを使用しても、OSのテレメトリによって追跡が可能であれば、その努力は無意味になりうる。プライバシー技術の進化と、法執行の正当性のバランスをどう取るかが、今後1〜3年の重要な論点だ。

編集部としては、ユーザー自身がOSのテレメトリ機能をどの程度制御できるか、また法律による歯止めが十分かが問われていると見る。GDIDの利用目的や保持期間、第三者提供の条件が明確に開示されるべきであり、その枠組みが整わなければ、市民の監視社会化への懸念は一層強まるだろう。

参考

よくある質問

Windows GDIDとは何か?
Windows OSに組み込まれた永続的なデバイスレベルの識別子で、特定のWindowsインストールを一意に識別する。Microsoftのサービス間でデバイスを追跡するために使用されるが、セキュリティ向上やクラッシュ分析にも活用される。
GDIDはユーザーが無効にできるのか?
現時点では、GDIDを完全に無効にする公式な設定は提供されていない。ただし、プライバシー設定でテレメトリ送信を制限したり、オフラインアカウントを使用することで間接的に影響を抑える方法は存在する。
今回の事件で、GDIDはどのように犯罪捜査に使われたのか?
FBIはngrokとTzulo VPNから得たIP記録と、Microsoftが提供したGDIDのタイムスタンプ付きアクセスログを照合し、Stokesの使用したWindowsデバイスを特定した。これにより匿名化ツールを使用していても、OSレベルの追跡によって身元が判明した。 ## 参考 - [Windows is watching: Anti-piracy tool fingers Scattered Spider suspect - The Register](https://www.theregister.com/cyber-crime/2026/07/07/windows-is-watching-anti-piracy-tool-fingers-scattered-spider-suspect/5267953/) — 2026-07-07公開
出典: The Register

コメント

← トップへ戻る