iPhoneは他社スマートフォンよりも「ユーザーの個人情報に関するセキュリティがしっかりしている」とAppleは強調しています。しかしiPhoneで写真などを共有する時に便利なAirDropには電話番号を悪意のある第三者に漏らしてしまう危険性があると報告されています。(AirDrop security flaw can allow bad actors to see your phone number )
ハッシュ値を総当たり?
AirDropで写真などを共有する時、送信者・受信者を特定するために電話番号から生成されたSHA256ハッシュ値がIDのように使われます。実際にはこのハッシュ値のうち先頭の3バイト分の文字だけがAirDrop使用時に周囲に公開されるのですが、この文字列を専用ツールで検出することは可能とされます。そして先頭の3文字さえわかればその地域で使われている電話番号を総当たりで調べることで電話番号の特定が可能とされます。確かに日本で使われている1億個の携帯電話番号のうち、ハッシュ値の先頭3文字が一致するものはそれほど多くないでしょう。
条件は厳しいですが、AirDropで周囲に出される情報から電話番号を特定することは理論的には可能とも言えます。この問題はWi-Fiのパスワードを共有する際などでも発生するとされており、電話番号特定の方法が示されてしまった以上、Appleは何らかの対策を実施する必要に迫られそうです。
今のところ電話番号が他者に特定されないためにはAirDrop自体を使わないようにするしかないようです。AirDropには見知らぬ人から不快な写真を送りつけられるイタズラが流行ったこともあり、自動検出機能をOFFにしている人も多くいます。しかし未だに満員電車なんかではだれからでもAirDropの受け入れを許可している人がたくさん表示されます(しかも本名で)。今回の件も含めてAppleはAirDropについて何らかの情報漏洩策を実施する必要がありそうです。