Shutterstock.com

悪いのは誰だ? フィットネストラッキングが「軍の秘密」を暴露する(前編)

江添 佳代子

February 8, 2018 14:08
by 江添 佳代子

フィットネストラッキングの人気サービス「Strava」(ストラバ)が、世界中のユーザーによる活動状況のマップを公開した。そのマップが、米軍の基地をはじめとした複数の国々の「軍事拠点における人々たちの動き」まで示していたことが判明し、国家安全保障を巡るコミュニティに新たな討論が引き起こされている。

自ら軍事機密を公開

フィットネスと軍事に何の関係があるのだと不思議に思われるかもしれないので、まずは簡潔に事情を説明しよう。世界の軍事拠点で働いている職員たちの中には、勤務中の自分の活動を「エクササイズのデータ」として楽しめるように記録している人々がいた。彼らの中には、アスリート御用達のオンラインサービス「Strava」を利用して自分のデータ(もちろん詳細なGPS情報が含まれている)を管理したあげく、そのサービスの設定で「データを公開」している人々もいた。

少々信じがたいことに、そのような迂闊な人々は世界中に数多く存在していた。そんな彼らのデータは、「健康的なアスリートの皆さんが汗を流した軌跡」の一部として、誰でも閲覧できるマップに反映されてしまった。それだけのことだ。馬鹿馬鹿しい、もう充分だ、続きは読まなくていいと感じた方もいるだろう。

しかし、この三面記事のようなニュースには、もはや笑えないほど深刻な状況が表れている。それらは一般市民の個人データのセキュリティやプライバシーの問題、情報セキュリティの問題に一石を投じるものだ。

記録を使ってユーザー同士が交流できるSNS

ランニングやサイクリング、水泳やスキーなど多様なスポーツの活動内容を記録できる「Strava」は、世界中のユーザーに利用されているオンラインサービスで、日本のアスリートの間でも好評を博している。それは特定のハードウェア専用のプラットフォームではないため、ユーザーは様々なデバイスで取得したログを登録できる。

たとえばFitbitなどのツールを何も持っていないユーザーでも、Stravaのアプリをインストールしたスマートフォンをポケットに入れて走れば、スマートフォンがランニングのログを取得し、そのデータをStravaへアップロードしてくれる。高価なサイコン(サイクルコンピューター。速度、走行距離、心拍数などの多様なデータを計測できる高機能のトラッキングツール)を愛用しているサイクリストなら、自分のサイコンが記録したログをStravaと同期することもできる。

このStravaは、走行ルートのマッピングやログ分析などの機能が充実しているだけでなく、「アスリート同士が交流するためのSNS」としても利用できる点が特徴的だ。具体的には、同じ地域で運動している見知らぬユーザー同士で「特定の区間の走行タイム」を競い合ったり、仲間のユーザーとアクティビティのデータを自慢しあったり、スマートフォンで撮影した写真を添えて活動報告を投稿したりといった楽しみ方もできる。

このような交流の機能を利用したいユーザーは、必要に応じて自分のデータを公開(共有)しなければならないのだが、誰にもデータを見せずに一人で楽しみたければ、ログを非公開にも設定できる。また「自宅や職場の場所を追跡されたくない」と考える賢明なユーザーは、プライバシーゾーン(マップには反映されない区間)を複数設定できる。このサービスを利用すれば、公道から自宅のドア、あるいは職場や駐輪場までの道のりを他人に知られる心配がない。

問題となったGlobal Heatmapとは?

そんなStravaは昨年、世界中のユーザーが共有しているデータを分かりやすく示したマップ「Global Heatmap」を発表した。2017年11月1日、Stravaの技術者は次のような説明文を公開した
「Strava Labsによる最新版の『Global Heatmap』を喜んで発表しましょう。これは2015年版以降初の大規模な改訂版です。今回のアップデート版には前回の6倍のデータが含まれており──2017年9月までに、Stravaの公開データから得られたアクティビティの数は計10億件になりました。私たちのGlobal Heatmapは、このようなマップとしては最も大規模で、最も豊かで、最も美しいデータセットです。これはStravaのアスリートたちのグローバルネットワークを直接的に可視化したものです」

実物を確認いただければお分かりのとおり、たしかにGlobal Heatmapは非常に美しく、スケール感に優れた操作性のよいマップで、あまりフィットネスに関心のない人でも充分に楽しむことができる。このマップで自宅の周辺やお気に入りの公園を探し、世界中の道を埋めるネオンのような光の束(ユーザーの活動の軌跡)に魅了され、「自分もStravaを使ってみたい」と感じた人々は少なくないだろう。

騒動の始まり

繰り返しになるが、StravaがGlobal Heatmapの公開を誇らしげに発表したのは昨年の11月1日だった。それから2018年の1月終盤まで「軍事関係者の足取りらしきデータ」のことは取り沙汰されていなかった。つまり3ヵ月近くもの間、世界中のセキュリティ関係者、報道関係者、防衛や軍の関係者も含めて、誰もその危険性を指摘していなかったようだ(※1)。

この問題に初めて言及したのは、Australian National Universityに在籍する20歳の大学生、Nathan Ruserの1月27日のツイートだったと考えられている。

「StravaがGlobal Heatmapを公開。ユーザーから収集された13兆(※2)のGPSポイント。(データ共有はオプション設定でオフにできる) ……それは非常に美しいが、運用セキュリティ面はかんばしくない。米軍基地がマッピングできるようになっており鮮明に識別できる」

Ruserは他にも複数の中東地域のマップを示しながらツイートした。中には次のような記述もある。

「兵士たちがエクササイズの際、一般の人々と同じようにトラッキング機能をオンにしてアプリを使用すれば、とりわけ危険となりえる。この特定の追跡情報は『定期的なジョギングルート』を記録しているようだ(後略)」

Ruserによる複数のツイートが投稿されて以降、Twitterをはじめとした複数のSNSには「Global Heatmapで確認できる、世界中の軍事関係者の活動らしき軌跡」の報告が続々と投稿された。たとえば一般のアスリートであれば決して立ち入りそうにない紛争地帯の砂漠(マップ上では辺り一帯が真っ暗)の中に灯る光や、軍用基地の周辺でトレーニングする兵士の追跡データらしき足取り、あるいはミサイルコマンド施設の特定のルートを盛んに往来する人々の形跡などだ。

エネルギー産業のコミュニケーションコンサルタントのKetan Joshiは、Global Heatmapに表示されるパイン・ギャップ軍用基地(※3)の画像をツイートで報告した

パイン・ギャップといえば世界で最も機密性の高い場所のひとつとして知られる軍事施設だが、実際にGlobal Heatmapで確認してみると、その敷地内を移動するユーザーの足取りは驚くほど鮮明に示されている。

Global Heatmapに掲載されているパイン・ギャップの画像

後編では、このマップが特別に問題視された理由、ペンタゴンの反応、そして私たちの生活と「個人データの共有」について考えていきたい。
 
※1…もちろん「そのことに誰も気づいていなかった」とは断言できない。たとえば他国の軍事基地の情報を最も有効に活用できる(あるいは悪用できる)人々であれば、そのデータの存在に気づいたとしても決して指摘せず、こっそり利用しつづけるだろう。
 
※2…のちにRuserは、このツイートの数字に誤りがあったと報告している。
 
※3…オーストラリアの砂漠に位置する米豪の軍用シギント施設。あのエシュロンの重要拠点としても有名。
 
(後編に続く)

江添 佳代子

江添 佳代子

ライター、翻訳者。北海道生まれ、東京育ち、カナダ・バンクーバー在住。インターネット広告、出版に携わったのち現職。英国のITメディア『The Register』のセキュリティニュースの翻訳を、これまでに約800本担当してきた。
THE ZERO/ONEの記事を中心に、ダークウェブをテーマにした『闇ウェブ』(文春新書)の執筆に参加。

BugBounty.jp

システムに内在するリスクをチェックセキュリティ診断(脆弱性診断)

提供会社:スプラウト

企業や組織のWebアプリケーション、各種サーバー、スマートフォンアプリケーション、IoTデバイスなどの特定の対象について、内外の攻撃の糸口となる脆弱性の有無を技術的に診断します。外部に公開す るシステムを安心かつ安全に維持するためには、定期的なセキュリティ診断が欠かせません。

BugBounty.jp

サイバー空間の最新動向を分析脅威リサーチ

提供会社:スプラウト

サイバー攻撃に関連した機密情報や個人情報が漏洩していないかをダークウェブも含めて調査し、もし重要な情報が発見された場合は、その対応策についてもサポートします。また、サイバー攻撃者のコミ ュニティ動向を分析し、特定の業種や企業を狙った攻撃ツールやターゲットリストが出回っていないかなどの特殊な脅威調査も請け負っています。

中国でライドシェア殺人事件が発生

May 22, 2018 08:00

by 牧野武文

5月6日早朝、中国版ウーバーの「滴滴出行」(ディディチューシン)のライドシェアを利用した女性が、運転手に殺害されるという痛ましい事件が起きた。ほぼすべてのメディアが連日報道する大事件となった。各交通警察は、中国人民公安大学が制作した「ライドシェアを利用する女性のための安全防犯ガイドブック」を配布して…

アリペイの盲点を突いた男に懲役5年

May 15, 2018 08:00

by 牧野武文

アリババが運営するQRコードスマホ決済「アリペイ(支付宝)」のシステムは、かなり堅牢だ。 アリババは、どのようなセキュリティ対策をしているかは一切公表していない。ただ、ネットではよく「10段構えの防御システムになっている」と言われる。最も外の防御システムが突破されるとアラートが発せられて、緊急チーム…