マイクロソフトが認めた——あなたのPCに「消せない追跡番号」があった

マイクロソフトが認めた——あなたのPCに「消せない追跡番号」があった

WindowsプライバシーGDIDセキュリティ追跡

データソース:Lobsters + web research · HN

2026年7月、米国司法省は39ページに及ぶ刑事告発状を公開した。被告は19歳のピーター・ストークス(Peter Stokes)で、2025年5月に米国の高級宝飾品小売業者に侵入し、800万ドルの身代金を要求したとされた。ストークスはVPN、プロキシサーバー、検閲回避ツールを使い、IPアドレスはエストニア、ニューヨーク、タイなど4カ国にまたがっていた。常識的に言えば、インターネット上で人を追跡する場合、IPアドレスを変えられれば手がかりは断たれる。

だがFBIはそれでも彼を見つけた。決定的な証拠は、彼のPCの中にマイクロソフトが自動生成した一連の数字だった——g:6755467234350028

この数字の名はGDID、正式名称はGlobal Device Identifier、訳せば「グローバル・デバイス識別子」だ。FBIのこの告発状が公開されるまで、大多数のWindowsユーザーはこの名前を耳にしたこともなかった。マイクロソフト自身が外部に公開して言及している箇所も、Azure Monitorの企業向け技術文書に埋もれたたった一文だけだ。

Windows GDID グローバル・デバイス識別子の概念図 図:GDIDはWindowsシステムに内蔵された永続的なデバイス識別子。出典:Ghacks

それは何か——あなたのPCの「身分証番号」

最も簡単に言えば、GDIDとは、マイクロソフトがあなたのPCに自動で割り当てる永続的な番号である。 Windowsシステムをインストールした時、あるいはマイクロソフトアカウントでPCにログインした瞬間に、この番号は生成される。

それはPCハードウェアのエンコードではない——ハードウェアは交換できる。IPアドレスでもない——IPは変えられる。それはマイクロソフトのサーバーがあなたのこのPCに「発行」した身分番号であり、いったん生成されれば、システムアップデートを越え、ネットワーク環境を越え、このPCのWindowsシステムに永遠に紐づいたまま存在し続ける。

この番号はどんな姿をしているのか。それは通常「g:」で始まる一連の数字で、たとえばg:6755467234350028のようになり、Windowsシステムの深層にあるレジストリに保存されており、一般ユーザーには到底見ることができない。それはバックグラウンドで静かに動作し、Windowsの更新、アプリストアの利用、システムデータの上報などの通常操作に伴って、定期的にマイクロソフトのサーバーへ送り返される。

もし「マイクロソフトのサーバーへ送り返される」という言葉があなたを不快にさせるのだとしたら——それはごく当然のことで、そう思うのはあなた一人ではない。

どう動いているのか——見えない自動ラインのような仕組み

GDIDの生成と上報(アップロード)のプロセスは、まるで全自動の組立ラインのようで、ユーザーが介入する余地は一切ない。

第一ステップとして、あなたがマイクロソフトアカウントでWindowsにログインすると、システム内のバックグラウンドサービス(wlidsvcと呼ばれる)がマイクロソフトのログインサーバーlogin.live.comに自動的に接続し、サーバーに対してデバイス専用の身分番号を申請する。この番号はマイクロソフトのサーバーから直接「発行」され、あなたのPCへと押し込まれる。

第二ステップとして、この番号はWindowsのレジストリ——HKCU\SOFTWARE\Microsoft\IdentityCRL\ExtendedPropertiesという場所——に書き込まれる。それはまるでシステムの深層に隠された保管棚の中にあり、表面からは何も見えない。

第三ステップとして、Windows内の複数のバックグラウンドサービスがこの番号を読み取る。「スマートフォンの接続」「クラウドクリップボード」「近接共有」といった、あなたが日常使っている機能はすべてそれを呼び出している。これらのサービスは番号をマイクロソフトの「デバイスディレクトリサービス」に登録し、完全なデバイス身分の地図を形成する。

第四ステップ、最も決定的なステップだ。Windowsの「配信最適化」機能——要するに、LAN内の他のPCから更新プログラムを高速でダウンロードする手伝いをする機能——は、実行されるたびに、GDID番号をあなたのIPアドレスとタイムスタンプと一緒にマイクロソフトのサーバーへ上報する。

言い換えれば、マイクロソフトはあなたがこの番号を持っていることを知っているだけでなく、その番号がいつ、どのIPアドレスを使って活動したかも知っている。これらの情報をつなぎ合わせれば、それは完全なデバイスの活動タイムラインになる。

FBIはどうやってそれを使って人を追い詰めたのか

ストークスは自分が賢いと思い込んでいた。彼はVPNで本当のIPを隠し、プロキシサーバーでトラフィックを中継し、複数の国のあいだでネット上の身分すら切り替えていた。だが彼が忘れていたことが一つある。IPがどう変わろうとも、彼のPCの中のWindowsシステムは変わっていなかった、ということだ。

告発状の記述によれば、FBIの捜査経路はおおむね以下のようなものだった。

まず、被害にあった宝飾品小売業者のウェブサイトが攻撃者のIPアドレスを記録していた——このIPはTzuloというVPNサービス事業者に属していた。同時に、捜査員は攻撃者がngrok(一つのネットワークトンネルツール)にアカウントを登録し、攻撃操作に利用していたことを突き止めた。登録時刻と登録時のIPアドレスは、一致していた。

次に、FBIはマイクロソフトにデータの提出を求めた。この時点で、このIPアドレスを使用していたデバイスのGDID番号は何か? 答えは出た。g:6755467234350028だ。

そして、FBIは逆方向の照会を行った。このGDID番号は、ほかにどのIPアドレスを使ったことがあるか? マイクロソフトの記録によれば、同じGDIDが長くて8カ月のあいだに、エストニア、ニューヨーク、タイなどの複数の地点に現れ、毎回異なるVPNノードを通じて接続していた。

最後のステップとして、FBIはこれらのIPアドレスを、ストークスがSnapchat、Facebook、Appleアカウント、Ubisoftのゲームプラットフォーム上で残したログイン記録と照合した——時刻が合い、場所が合った。彼がSnapchatに投稿した公開写真は、GDIDが記録した旅行のタイムラインと完全に一致していた。

2026年4月、ストークスはヘルシンキ空港で日本行きの便に搭乗しようとしたところをフィンランド警察に拘束された。国際刑事警察機構(インターポール)の赤手配書が、彼がその便に乗ることを阻んだ。

FBIはGDIDを通じて容疑者を追跡 図:FBIはGDIDを頼りにVPNと複数の国をまたいで容疑者を追跡した。出典:WindowsLatest

なぜこの件が不安を抱かせるのか

GDIDの存在が議論を呼ぶ理由の核心は、一つの事実にある。あなたはそれを無効化できない、ということだ。

AppleのiPhoneの広告識別子は、ユーザーがリセットできる。Androidシステムも同様の制御オプションを提供している。Appleでさえ、Appがユーザーを追跡する前にポップアップで同意を求めるよう求めている——あの「Appに追跡の許可を求めさせる」というプロンプトだ。

だがGDIDにはこれらがない。同意を求めるポップアップはない。閉じるためのスイッチはない。リセットするボタンもない。セキュリティ研究者のマシュー・ヒッキー(Matthew Hickey)は、この事例を評して率直に、Windowsはまさに「監視ソフトウェア」だと言った。

さらに居心地が悪いのは透明性の問題だ。マイクロソフトがこの番号について公に記述しているのは、Azure Monitorの文書全体を通じてたった一文だけだ。「Microsoft グローバル・デバイス識別子。これは Microsoft が内部で使用する識別子である。」一文、十数語の英語だ。それがどう生成され、どう伝送され、どれだけ保存され、誰がアクセスするか——いずれについても説明は一切ない。

独立したセキュリティ研究者たちは、リバースエンジニアリングを通じてGDIDの仕組みを解明せざるを得なかった。彼らが発見したのはこうだ。GDIDの生成を強制的に阻止すれば、Windowsのシステム認証(アクティベーション)に支障を来し、アプリストアのプログラムも正常に使えなくなる。GDIDはWindowsの中核機能と深く結びついており、単独で抜き取ることはできない。

もう一つ注目すべき細かい点がある。マイクロソフトは告発状の脚注のなかで、一つのマイクロソフトアカウントの下に複数のGDIDを関連付けられることを認めている。言い換えれば、たとえシステムを再インストールして新しい番号を得たとしても、マイクロソフトは依然としてあなたのアカウント、OneDriveのクラウドストレージ、認証記録などの情報を通じて、新旧の番号をつなぎ合わせることができるのだ。

各者の立場——単一の答えはない

この件に単純な善悪の区分はない。各者が異なる角度に立てば、見える景色はまったく異なる。

法執行機関の観点から見れば、GDIDは強力なフォレンジック(証拠保全)ツールだ。ストークスの事件において、VPNを越えるこの追跡の錨(アンカー)であるGDIDがなければ、捜査は関連付けられない一群のVPNのIPアドレスで行き詰まっていたかもしれない。GDIDは法執行機関がネットワークの匿名層を突破し、犯罪行為と具体的なデバイスを結びつけることを可能にする。技術的手段で身分を隠す犯罪者たちに対して、これは有効な抑制の働きだ。

プライバシー保護の観点から見れば、無効化もできず、ユーザーの同意も要らない永続的なデバイス識別子は、いかなる基準の下でも設計上の危険信号だ。その問題は「理論上、いかなる目的にも利用し得る」という点にある。今日はFBIの刑事調査だとして、明日は何になるか。広告ネットワークか。保険会社か。政治的監視か。あるシステムが設計段階でこのような追跡能力をあらかじめ仕込んでいれば、その利用者が永遠に「善玉」でいるわけではない。

マイクロソフトの観点から見れば、GDIDの本来の設計目標はユーザー追跡ではない——それは主としてソフトウェアのライセンス管理、アプリストアの正常な稼働維持、デバイス間連携機能の支えとして用いられる。だが問題は、この「インフラ」級の識別子はいったん存在すれば、あまりにも多くのシステムコンポーネントに埋め込まれてしまい、それを取り除くことはWindowsの中核アーキテクチャを書き直すことに等しいという点にある。

Lobstersの技術コミュニティの議論のなかで、一つのコメントが繰り返し上に押し上げられていた。「このことがもっと多くの人に意識されなければ、次はハッカーを捕まえる話ではなくなる」というものだ。また「本当の解決策はOSを替えることだ」と言う者もいた。だがOSを替えることは、16億人のWindowsユーザーにとって、軽々と下せる決断ではない。

Windows 11 のプライバシーとセキュリティ設定 図:Windows 11のプライバシー設定には、GDIDの制御オプションはどこにも見当たらない。出典:WindowsLatest

あなたにできること

率直に言えば、すでにマイクロソフトのエコシステムに深く組み込まれた一般ユーザーにとって、選べる対応の幅はかなり限られている。筆者がここにまとめたのは、現在の条件の下で関連するリスクを減らし得るいくつかの操作だ。

第一に、可能な限りマイクロソフトアカウントではなくローカルアカウントを使う。 Windows 11は最近の数バージョンでローカルアカウント作成の入り口を狭めているが、インストール時にネット接続手順をスキップするか、設定画面で「ローカルアカウントでのログインに変更」を見つけ出すことは、依然として可能な道だ。GDIDの生成はマイクロソフトアカウントと深く紐づいており、ローカルアカウントの利用は一つの間接的な隔離手段となる。

第二に、必須ではない診断データの上報をオフにする。 経路はこうだ。設定 → プライバシーとセキュリティ → 診断とフィードバック → 「オプションの診断データ」をオフにする。これでGDIDが消えるわけではないが、GDIDと一緒に上報される他の情報を減らすことはできる。

第三に、パーソナライズ広告と起動追跡をオフにする。 「プライバシーとセキュリティ」→「おすすめと特典」のなかで、すべてのオプションをオフにする。「検索のアクセス許可」で「クラウドコンテンツの検索」をオフにし、ローカルの検索内容がマイクロソフトのサーバーへ送信されるのを避ける。

第四に、活動履歴を定期的に見直す。 プライバシー設定で「アクティビティ履歴」を確認し、不要な同期オプションをオフにする。これらはGDIDそのものには触れないが、あなたの行動データがマイクロソフトのエコシステム内でつなぎ合わされる機会を減らすことができる。

第五に、やや極端かもしれないが、言及する価値はある: あなたがプライバシーに高い要求を持ち、技術的に一定の学習コストを受け入れられるなら、この種の追跡メカニズムを内蔵しないOS(一部のLinuxディストリビューションなど)への移行は、検討に値する長期的な方向だ。これはどこにでも当てはまる助言ではない——すべての人に、すべての場面に適しているわけではない。だがそれは確かに存在する選択肢だ。

より大きな問題

GDIDの件が単なる「また一つのテックニュース」にとどまらないのは、それがますます尖鋭化する一つの矛盾に触れているからだ。あなたのOSが同時にあなたのサービス提供事業者でもあるとき、その忠誠は誰に属すべきか?

Windowsはとっくに、あなたのハードディスク上の一つのシステムではなくなっている。それはマイクロソフトのクラウド、マイクロソフトのアカウント体系、マイクロソフトのアプリストア、マイクロソフトのAIアシスタントとつながっている。そのビジネスモデルは「ソフトウェアを売る」ことから「サービスを売る」ことへと移り変わりつつある——そしてサービスの世界では、ユーザーデータが基礎通貨なのだ。

GDIDの存在は一つのことを思い起こさせる。クラウドコンピューティングと人工知能の時代において、あなたのPCの最も深い層にあるその「システム」は、もはや単なる道具ではなくなっているかもしれない、と。それは同時に、一つのセンサーであり、一つの記録装置であり、一つの身分の錨(アンカー)でもある。

そしてそれはデフォルトでどちら側に立つのか——この問いに対し、マイクロソフトはこれまで、すべての人を安心させるような答えを一度も出していない。


参考リンク:

  • Ghacks: Microsoft Confirms Windows GDID Device Identifier That Cannot Be Disabled, Documented in FBI Case Filing
  • PCMag: A Hacker’s Arrest Reveals Microsoft Can Track Users Via a Windows Device ID
  • WindowsLatest: Microsoft admits Windows 11 has a GDID tracker with no off switch
  • Cybernews: Windows telemetry backlash — GDID tracking exposes Scattered Spider hacker
  • Lobsters 議論 (s/agkcmz)