Shutterstock.com

悪いのは誰だ? フィットネストラッキングが「軍の秘密」を暴露する(後編)

江添 佳代子

February 9, 2018 08:00
by 江添 佳代子

前編はこちら

人々の「動き」が伝える情報

Global Heatmapによって引き起こされた問題について、英語圏のメディアの多くは「Stravaのマップで世界の軍用基地が発見された」などの見出しをつけて伝えている。しかし、それは誤解を招きやすい表現かもしれない。なぜなら人々が報告した「場所」そのものは、Google Mapsにもしっかりと表示されているからだ。

たとえば先述のパイン・ギャップ軍用基地などは、その座標を知らなくてもGoogle Mapsで名前を検索するだけで、誰でも簡単に所在地を確認できる

それでも今回のGlobal Heatmapが特に危険視されたのは、そこに「行動を示すデータ」が表示されていたからだ。たとえば
・特定の紛争地域の、どのあたりが軍事活動の拠点となっているのか?
・この基地で働いている人々が、普段どのような動きをしているのか?
・敷地内を移動する際の主な経路はどのようになっているのか?
・すでに使用されていないと伝えられている軍用設備の周辺に、人の往来はあるのか?
・この軍事施設内で、人々の出入りが特に多い、もしくは特に少ない建物はどれか?
・その建物のどのあたりが出入り口なのか?
これらの「本来ならば関係者しか知らないはずの極秘情報」を分かりやすく視覚的に伝えるようなデータが、誰でも見られる形で公開されてしまった。

この事態に、米国は素早く反応した。1月29日、米陸軍大佐のロバート・マニング3世はペンタゴンで開かれた会見で次のように語っている。
「我々は、これらの問題を深刻に受け止めている。米国内外の国防総省の職員たちの継続的な安全を確保するために、追加のトレーニングや指導を行うことが必要かどうか、また追加の方針を策定することが必要かどうかを判断するべく、状況を再確認している」
「国防総省の職員たちには、無線技術やアプリケーションに厳格なプライバシー設定を施すことが推奨されている。今回のHeatmapの事件は、『ウェアラブルデバイスによるデータ共有に対して軍人が慎重になること』の必要性を強調するものだ」

米国の軍事施設では今後、フィットネスデータの取り扱いについて厳しい指導が行われることになるかもしれない。「いまさら手遅れだ、それは真っ先に徹底させるべきことだろう、なぜ今まで放置していたのだ」というツッコミの声もあるだろう。

しかし思い出してほしいのは、Heatmapが公開されてから3ヵ月弱にわたり「誰もその問題を指摘していなかった」という点だ。たとえば日々の軍事訓練のジョギングを「アクティビティ」として記録している兵士が、そのGPSデータをわざわざSNSで公開するなどといった可能性は、ほとんど誰も想定していなかったのかもしれない。

マンチェスターの自転車泥棒

このGlobal Heatmapの話題は、特殊な場所におけるフィットネストラッカーの利用に関して問題を提起するものだった。そのため一般のユーザーには、あまり関係のない話だと感じられたかもしれない。しかし本当にそうだろうか?

まずはフィットネスデータの共有が孕む危険性について考えてみよう。実は過去にも、Stravaで共有されるGPSデータの問題は何度か話題になったことがあった。分かりやすい例のひとつとして、2年ほど前に英国で報じられた「マンチェスターの自転車盗難事件」を紹介しよう

2015年12月のManchester Evening Newsの報道によれば、マンチェスター在住のサイクリストの男性が、自分の住所と自転車の詳細情報をStravaで公開した直後、自宅のガレージから2台の自転車(計1500ポンド相当、当時の相場で約27万円)を盗まれてしまった。そのガレージには他にも高価なアイテムが数多くあったにも関わらず、盗まれたのは自転車だけだった。Stravaは2015年当時、すでに「自宅周辺の情報をマップに反映しないプライバシーサービス」を提供していたのだが、被害者の男性はその機能に気づかないまま、自分の走行データをデフォルトで共有していた。

被害者男性の説明によれば、彼の自宅のガレージは一般の人々には分かりづらい位置にあった。しかし彼の最新の走行ルートを見た人物なら「どこに自転車があるのか」は一目瞭然である。つまり最初から高級自転車を狙った窃盗犯が、Stravaでお宝を探していた可能性が高い。さらにManchester Evening Newsが地元のサイクリングクラブの主催者に確認したところ、過去数ヵ月間のマンチェスターでは多数の自転車の盗難が発生しており、その被害者たちは「自分の走行記録を公開するアプリを利用していたせいではないか」と語っていたという。

もしも「人」がターゲットになったら

この連続盗難事件の話題はあまり大きく広まらなかった。自転車泥棒など日常的に起こる犯罪なので無理からぬ話だ。しかし犯罪者の標的が自転車やスポーツ用品ではなく「ユーザー本人」になった場合はどうなるだろう?

まず、スポーツファンたちの交流の場となっているStravaでは、ランニングやサイクリングの詳細な走行記録だけではなく、スポーツウェアに身を包んだユーザーの「健康的に日焼けした笑顔」の写真が投稿される場合もある。またStravaの利用者の中には、本名や住んでいる地域などの個人情報を隠さずに表示させている人々も少なくない。

SNSのユーザーがあからさまな個人情報を掲載するのはFacebookやLinkedInでも同じなのだが、Stravaの場合は「普段の行動パターンや、自宅までのルートを推察できる地理情報」が付帯してしまうことがあり、データは日々更新される。それらの組み合わせは、ストーキングにもってこいの危険なデータとなりかねない。

Stavaユーザーの中には、プライバシーゾーン設定をまったく利用していない人も多い。それは今回のGlobal Heatmapに関する一連の話題の中でも指摘されている。たとえば情報セキュリティのコンサルタント企業Side ChannelのBrian Haugliは、Global Heatmapで示された画像(公道から一つの家に繋がる細い道が明確に示されている)と共に、次のようなツイートを投稿した。


「短いラインが表示されている家々をズームすれば、Stravaを利用する個人が確認できる。Stravaはプライバシーゾーン設定を提供しているのだが、それはデフォルトで利用されるようになっていない」

これは重要な指摘だろう。Stravaのようなエンターテインメント系のサービスでは、ユーザーのプライバシーに対する考えもバラバラになるうえ、「個人データを慎重に扱いなさい」と口うるさく指導してくれる人物もいないからだ。

「このアプリを早く使ってみたい、いますぐにでもランニングをしてデータを記録してみたい」とうずうずしているユーザーが、最初にサービスの利用規約を確認したり、データ共有の仕組みを深く理解しようと努めたり、自分のセキュリティ設定の画面を開いたりする可能性は下がるだろう。せっかくのプライバシーゾーンの機能も、利用されなければ何の意味もない。

Stravaは人気の高いサービスなので、その楽しさを数多くのユーザーが薦めている一方、「プライバシー設定がわかりづらい」という苦情を目にする機会も多い。これは由々しき問題だ。Stravaが新規ユーザーにアカウントの登録をさせる際には、真っ先にプライバシーの警告を行い、さらに彼らの安全を守るために、プライバシーゾーンの設定を「強制」するべきだったのではないだろうか。「あなたがセキュリティの設定を何も行わず、全ての走行データをデフォルトのまま公開した場合、あなたのアクティビティのルートは丸ごと地図上に示される。『あなたが自宅マンションの駐輪場から一般道に出るまでの動き』は、世界中の誰もが気軽に閲覧できるようになるかもしれない」という事実を理解していたユーザーは、全体の何割ぐらいいたのだろうか?

繰り返される「IoTのプライバシー問題」

このような危険性は、フィットネストラッカーやGPSデータに限られた話ではない。軍の関係者であれ、一般の人々であれ、いま自分がオンラインでどんな情報を公開しているのかを常に認識することは重要だ。たとえそれが、ほとんど誰とも繋がっていないようなアカウントだったとしても、純粋にスポーツを楽しんでいるアスリートばかりが集まっている(ように見える)SNSだったとしても、「私の個人データなど誰も狙わないだろう」などと考えるべきではない。そのデータは突然、本人が想像しなかったような形で世界中の人々の目に晒される可能性がある。

サービスを提供する側も、顧客の個人データの扱いをもっと慎重に考える必要があるはずだ。データを共有する際のデメリットがどこにあるのかをユーザーに理解させないまま、ただ「一人でエクササイズするのは退屈です、もっと仲間たちと繋がりましょう。アクティビティをリアルタイムで見せ合って、みんなで楽しく励まし合いましょう」とデータの共有を推奨したうえ、そこで得られた公開データをプロモーションツールにして発表したのは、さすがに軽率だったと言わざるを得ないのではないだろうか(たとえそれが利用規約で許可されている行為だったとしても)。とりわけGlobal Heatmapの場合は出来が良すぎたため、結果として「ユーザー以外の人々でも閲覧したくなるようなマップ」に個人の通行ルートが公開されてしまった。

今回の事件には、サービスを提供する企業も、それを利用するユーザーも、プライバシーの意識が麻痺しつつあるという現状が如実に表れているかもしれない。いま私たちの多くは、ちょっと前であれば考えられないほど多様な個人情報を、数多くのIT企業と共有している。地図サービスやSNSやウェブメール、ストレージサービスやクラウドサービスを日常的に利用するにつれて、
「常にインターネットと繋がっていること」
「様々な個人データが(時には自動的に)取得されていること」
「そのデータがオンラインに蓄積されていること」
「その一部が他人と共有されていること」
に対する私たちの意識は、少しずつ時間をかけて変化してきた。

さらに昨今ではコンピューターやスマートフォンに限らず、ありとあらゆる「モノ」がインターネットに繋がりはじめている。それらの便利さと楽しさは、「セキュリティを気にしすぎていたら何もできないじゃないか」という考えに拍車をかけてきた。家電やぬいぐるみアダルトグッズまでもがインターネットに接続されていく中で、私たちのプライバシーに対する意識は、いつのまにかガバガバになっていないだろうか。このままプライバシーのハードルが下がり続けたなら、「アスリート御用達のSNSで、うっかり軍事拠点の秘密が世界に暴露される」などという馬鹿げたニュースは、今後もたびたび聞かれるようになるのかもしれない。

江添 佳代子

江添 佳代子

ライター、翻訳者。北海道生まれ、東京育ち、カナダ・バンクーバー在住。インターネット広告、出版に携わったのち現職。英国のITメディア『The Register』のセキュリティニュースの翻訳を、これまでに約800本担当してきた。
THE ZERO/ONEの記事を中心に、ダークウェブをテーマにした『闇ウェブ』(文春新書)の執筆に参加。

BugBounty.jp

システムに内在するリスクをチェックセキュリティ診断(脆弱性診断)

提供会社:スプラウト

企業や組織のWebアプリケーション、各種サーバー、スマートフォンアプリケーション、IoTデバイスなどの特定の対象について、内外の攻撃の糸口となる脆弱性の有無を技術的に診断します。外部に公開す るシステムを安心かつ安全に維持するためには、定期的なセキュリティ診断が欠かせません。

BugBounty.jp

サイバー空間の最新動向を分析脅威リサーチ

提供会社:スプラウト

サイバー攻撃に関連した機密情報や個人情報が漏洩していないかをダークウェブも含めて調査し、もし重要な情報が発見された場合は、その対応策についてもサポートします。また、サイバー攻撃者のコミ ュニティ動向を分析し、特定の業種や企業を狙った攻撃ツールやターゲットリストが出回っていないかなどの特殊な脅威調査も請け負っています。

アリペイの盲点を突いた男に懲役5年

May 15, 2018 08:00

by 牧野武文

アリババが運営するQRコードスマホ決済「アリペイ(支付宝)」のシステムは、かなり堅牢だ。 アリババは、どのようなセキュリティ対策をしているかは一切公表していない。ただ、ネットではよく「10段構えの防御システムになっている」と言われる。最も外の防御システムが突破されるとアラートが発せられて、緊急チーム…

刑務所をハッキングして友人の刑期を書き換えた男

May 11, 2018 08:00

by 江添 佳代子

2018年4月26日、刑務所のシステムをハッキングした罪で逮捕されていた米国人男性、Konrads Voits(27歳)に7年3ヵ月の禁固刑が下った。彼がミシガン州ウォッシュトノー郡のコンピューターシステムに侵入しようとした動機は、服役中の友人の刑期を短くするためだった。この「受刑者記録を改ざんすれ…

「事故前提の中国無人運転車」の公道走行試験

May 8, 2018 08:00

by 牧野武文

中国工信部、公安部、交通運輸部は連合して、「スマートネット自動車公道試験管理規範(試行)」を発表したと『中間村在線』が報じた。いわゆる無人運転車の公道走行試験の方法を国として定めたもので、中国はドライバレースカーの実用開発で他国を一歩リードすることになる。 無人運転の6要件 このガイドラインは、国と…