開発

Windows GDIDでハッカー特定、テレメトリ追跡の実態

Scattered Spiderメンバーの逮捕でWindows GDIDが初めて公に証拠として使用された。テレメトリによる個人追跡の技術的詳細とプライバシー問題を分析する。

7分で読める SINGULISM 編集チームが確認・編集

Windows GDIDでハッカー特定、テレメトリ追跡の実態
Photo by BoliviaInteligente on Unsplash

Scattered Spider事件の新局面

2026年7月、19歳のエストニア人Peter Stokesが米国に移送された。StokesはScattered Spiderハッキンググループの一員として、デジタル犯罪に関与した容疑がかけられている。この事件で注目を集めたのは、Windowsの内蔵テレメトリ機能が容疑者特定の決定的な証拠となった点である。

Tom’s Hardwareの報道によれば、FBIはMicrosoftに対して召喚状を送付し、StokesのWindowsマシンから収集されたテレメトリログの提出を求めた。このログにはGDID(Global Device Identifier)と、同氏がWindowsマシンで訪問したウェブサイトのURLが含まれていた。

テレメトリデータの仕組み

GDIDはWindowsのテレメトリシステムがデバイスに割り当てる一意識別子である。Microsoftはこの識別子を用いて、OSの動作状況やエラー情報を収集している。これまでGDIDの存在自体は広く知られていたが、捜査機関が刑事事件の証拠として使用した初めての公的な事例となった。

Windowsのテレメトリには複数のモードが存在する。Required(基本)モードでは最小限のデータのみが送信される。一方、Optional(フル)モードではSmartScreenやMicrosoft Defenderが解析したURLのリストがGDIDとともにアップロードされる。Edgeブラウザを使用している場合、訪問したすべてのURLが送信される可能性がある。裁判資料では、Stokesのマシンがどのメカニズムでテレメトリを送信したかは明らかにされていない。

FBIの捜査手法と経緯

FBIはGDIDを用いてStokesのngrokアカウントを特定した。Stokesは同じセッションでngrokを使用し、その際にFacebookやSnapchatのアカウントにもアクセスしていた。捜査当局はテレメトリデータから得られたGDIDと、各サービスのアクセスログを照合できた。

さらにGoogleとAppleも捜査に協力した。GoogleはStokesのフィッシング用電話番号と、同氏がアカウントを作成したIPアドレスおよび日付を特定した。AppleはStokesのログイン情報を提供したとみられる。

Stokesはタイ旅行中にUbisoftのゲーム「Growtopia」をプレイした後、Apple ID、Facebook、Snapchatにアクセスしていた。これらの行動がテレメトリによって記録されていた。また旅行記録やニューヨークのIPアドレス、エンパイアホテルの宿泊情報も関連付けられた。

プライバシーをめぐる長年の論争

Windowsのテレメトリによるデータ収集は、発売以来プライバシーコミュニティで激しい批判を浴びてきた。特に問題視されているのは、Windows HomeおよびProfessionalエディションではテレメトリがデフォルトで有効になっており、ユーザーが完全に無効にする簡便な手段が用意されていない点である。

Microsoftはテレメトリデータがデバッグやシステム管理に有用であると説明している。エンタープライズ環境ではシステム管理者が問題を診断するために不可欠な情報だが、一般ユーザーにとっては自身の行動がどの程度追跡されているかが不透明なままである。

RequiredモードではURLの送信は行われないとされている。しかしOptionalモードではブラウジング履歴を含む詳細なデータが送信される。ユーザーはこの違いを理解しないまま、デフォルト設定を使用しているケースが多い。

セキュリティ研究者による再分析

今回の事件を受け、セキュリティ研究者の間でGDIDの仕組みへの関心が再燃している。GDIDがどのように生成され、どの範囲のデータが関連付けられるのか、詳細な分析が進められている。

特に注目すべきは、テレメトリデータが捜査機関によってどの程度活用可能かという点である。FBIはMicrosoftに召喚状を送付したが、これは適切な法的手続きを経たものだ。しかしこの事例は、政府機関がプライベートなテレメトリデータにアクセスできる経路を示したとも言える。

編集部の見解

短期的には、この事例がWindowsテレメトリの監視強化につながる可能性がある。プライバシー意識の高いユーザーはテレメトリを無効にする方法を模索し始めるだろう。Microsoftはデフォルト設定の見直しや、より透明性の高いデータ収集ポリシーを求められると見る。特に日本市場ではプライバシー規制の厳格化が進行中であり、グローバル企業への影響は無視できないと評価する。 長期的には、OSテレメトリを犯罪捜査に利用することの是非が問われる。このようなデータ収集はウイルス対策やシステム安定化に寄与する一方、政府による監視の道具として使われるリスクを常にはらむ。1〜3年のスパンで、テレメトリの法的位置づけやユーザー同意のあり方に関する議論が活発化すると考える。GDPRや日本の個人情報保護法の枠組みの中で、OSレベルのテレメトリがどこまで許容されるか、国際的な基準作りが進む可能性がある。 編集部からの問いとして、犯罪対策としての監視と一般ユーザーのプライバシー保護のバランスをどのように取るべきかという論点を提示したい。

参考

出典: Tom's Hardware

コメント

← トップへ戻る