さる5月18日に筆者の手元に米国のサイバー問題で最も専門性が高くかつ取組みが具体的なBlogサイト”KrebsonSecurity”(セキュリティ専門・調査報道が中心)の主幹であるブライアン・クレブズ(Brian krebs)氏から「移動体通信事業者の顧客のトラッキング専門会社”LocationSmart”サイトで、主要な米国の移動体通信事業者のすべての顧客は、リアルタイムで他のユーザーの同意なしに閲覧化可能となったのか?」 (後続の記事参照)と題する記事が届いた。それと前後して、ZDnet 、NewYork Times等のメディアも米国の他のトラッキング専門会社が本人の同意なしに法執行機関にトラッキング情報を譲渡あるいは売却していたなどのリーク記事が公表された。
この問題につき、筆者の関心は次の点に集約できると考えた。
①マーケティング支援ビジネストしてトラッキング専門会社の情報保護法等関係法から見た有効性、②トラッキング専門会社のシステムの脆弱性の中身と漏えい時のシステムのリカバリー体制、③電気通信事業者のこの問題の見方と取り組み、④連邦通信委員会(FCC)や連邦取引委員会(FTC)等監督機関の従来の取り上げ方や今後の調査の動向、⑤トラッキング・ビジネス規制にかかる連邦および州法の立法動向、⑥このビジネスに関する連邦議会の関係議員の見解と対処、⑥わが国で同様の問題はないと言えるのか等である。
かなり広範囲の問題であり、またそれぞれが専門性も高いテーマである。今回は第1回目として、KrebsonSecurity Blogにもとづき「事実関係」と①、③、⑤を中心にまとめた。できるだけ補足しながら解説をしたいと考えたが、時間も限られることから、やや正確性を欠く点は覚悟でまとめてみた。
1.事実関係及び関係者の取組内容の概観
はじめに、KrebsonSecurity Blogの内容が最も関係する問題を網羅しているので主要な部分を仮訳する。なお、時間の関係で同Blogは関係サイトとのリンクは十分には張られていない。このため、筆者の責任で追加的にリンクを張った。
(1) ”LocationSmart”のユーザーの正確な位置情報がパスワードや認証なしに誰でも見れる状態が発覚
携帯電話事業者のユーザーの正確な位置情報に関するリアルタイム・データを集約する米国企業である”LocationSmart”は、 パスワードや認証または認可を必要とせずに、同社のWebサイトのバグを原因とするコンポーネントを介して誰にでもこの情報を漏らしていることを”KrebsonSecurity”は検知した。”LocationSmart”は”KrebsonSecurity”からの連絡を受けて、5月17日(木)午後の早い段階でこの脆弱なサービスを遮断した。”LocationSmart”は、米国内のAT&T 、 Sprint 、 T-Mobile 、 Verizonの電話発信位置情報を数100ヤードの範囲で捕捉するサービスである。
5月10日(木)、 ”New York Times” は、 ”Securus Technologies” と呼ばれる別の携帯電話ロケーション追跡会社が、事実上すべての主要なモバイル・ネットワーク・プロバイダの顧客に関するロケーション・データをミズーリ―州ミシシッピー郡保安官事務所に売却または譲渡したというニュースを報じた。
5月15日(火)、 ZDnet.com は、 Securusがカリフォルニア州のカールスバッドにある仲介業者”Location Smart”を通じてデータを取得しているという記事を掲載した。
5月16日(水)午後、米国メディア「マザーボード(MOTHERBOARD)」は、もう1つの爆弾情報を公開した。ハッカーがSecurusのサーバーに侵入し、Securusが認定したユーザーのユーザー名、電子メールアドレス、電話番号、パスワードをハッキングした。 伝えられるところによると、盗難された認証情報のほとんどは、全米の法執行官がログオンに使うもので、その対象期間は2011年から2018年までである。
”KrebsonSecurity”は、前述のマザーボードの記事が出る数時間前にカーネギー・メロン大学「人間とコンピュータの相互作用研究所(Human-Computer Interaction Institute)」に在籍する博士論文提出資格者である研究者ロバート・シャオ(Robert Xiao)氏 (筆者注1)は”Securus”と”LocationSmart”の報道を知って、”LocationSmart”が潜在的な可能性についてWebサイトで公開しているデモ・ツールを覗いた顧客が行いうるモバイルロケーション・テクノロジーをテストしたと述べた。
”LocationSmart”のデモ・ツール(デモ・サイト:https://www.locationsmart.com/try/は、すでに閉鎖されている)は、氏名、電子メールアドレス、電話番号をサイトのフォーム(My Mobile)を選択、POST要求を入力するだけで、誰でも自分の携帯電話のおおよその位置を見ることができる無料のサービスである。 ”LocationSmart” は、ユーザから提供された電話番号をテキスト化し、そのデバイスの最も近い基地局のタワーにネットワーク接続許可を要求するのである。
2018.5.27 https://www.locationsmart.com/platform/location
World's Largest Location-as-a-Service Company
https://www.locationsmart.com/
その同意が得られると、”LocationSmart”は加入者に彼らのおおよその経度と緯度をテキスト化し、Google Street Viewマップ上に座標をプロットする。このことは、潜在的にあなたのモバイル・デバイスに関する多くの技術データを収集して保存する。たとえば、情報には「デバイスの緯度/経度、精度、見出し、速度、標高、基地局(cell tower)、Wi-Fiアクセスポイント、またはIPアドレス情報が含まれるが、これらに限定されない。
しかし、 カーネギー大学のシャオ氏によると、この同じサービスは、匿名の照会や不正照会を防ぐための基本的なチェックを実行することができなかった。つまり、Webサイトの仕組みに関する知識が少ない人でも、”LocationSmart”のデモサイトを悪用して、パスワードやその他のアクセスの資格情報を入力する必要がなく 、携帯電話の番号検索を行う方法を見つけ出す可能性がある。
シャオ氏は「私はほとんど偶然にこのような事件に遭遇したが、手順はそれほど難しいことではなかった、これは最小限の労力で誰でも発見できる。そして、その要点は、ほとんどの人の携帯電話を彼らの同意なしに追跡することができるということである」と述べた。
また、加入者の携帯端末に最も近い携帯電話の無線基地局に接続確認するために”LocationSmart”のサービスに確実に問い合わせることができたことを示した。シャオ氏は、友人がアクセスしている数分間に何度も友人の携帯電話番号を確認しえた。 友人のモバイルネットワークに数分かけて何度も接続確認ることで、彼は座標をGoogleマップに差し込み、友人の携帯電話指向性の動きを追跡することができた。
シャオ氏は「これは本当に怖いものだ。また、ボランティアがカナダのあるTelus Mobilityのモバイル顧客に対して脆弱なサービスをテストし、追跡に成功した」と述べた。
”LocationSmart”のデモ・サイトが本日オフライン(遮断される)になる前に、KrebsonSecurityは5人の異なる信頼できる情報源に接続確認を行い、5人すべてがシャオ氏が自分の携帯電話の所在を特定することに同意した。シャオ氏は、「公共のLocationSmartサービスに、私の5つのソースすべてに属する携帯電話のほぼ正確な位置を問い合わせることを数秒で決定づけることができた。」と語った。
(2) LocationSmartのデモページへのシャオ氏と協力者の検証の結果
これらのデモテストの情報源の1人は、シャオ氏のデモサイトへの質問によって返ってきた経度と緯度は、 現在の自分の現在位置から100ヤード以内に位置したと語った。別の筋によると、シャオ氏が見つけた場所は、正しい現在地から1.5マイル離れていたという。 残りの3人の関係者は、携帯電話で返される場所は、当時約1/5〜1/3マイルの距離にあったと述べた。
LocationSmartの創設者兼CEOである マリオ・プロリッティ(Mario Proietti )氏は、電話でコメントを求められたが、「同社は調査中だと語り、また、私たちはデータをあきらめていない。正当で許可された目的で利用できるようにする。これは、合意に基づいてのみ行われる、正当で認可されたロケーションデータの使用に基づいている。我々は、プライバシーを真剣に受け止め、すべての事実を見直して調査する」と述べた。
”LocationSmart”のホームページには、米国の主要なワイヤレス・プロバイダー4社である Google 、 Neustar (筆者注2)、 ThreatMetrix (筆者注3) 、 US Cellular (筆者注4)などの企業の企業ロゴが含まれている。 同社は、同社の技術が企業の遠隔の従業員や企業資産を把握するのに役立ち、モバイル広告主やマーケティング担当者が消費者に「地理に関連した宣伝」を提供するのを助けると語っている。
また、”LocationSmart”のホームページには多くのパートナーが掲載されている。
LocationSmartがデモサービスを提供された期間や同サービスがどれほど長い間許容されていたかは明確でない。 Archive.org からのこのリンクは 、少なくとも2017年1月にさかのぼりうることを示唆している。The Internet Archiveのこのリンクは、2011年中頃からサービスが別の会社名 - loc-aid.comの下に存在していた可能性があると示唆している。サービスは同じコードを使用していた。 Domaintools.com によると、 Loc-aid.comは、locationsmart.comと同じサーバーでホストされている4つの他のサイトの1つである。
”LocationSmart”のプライバシーポリシーによると、同社にはセキュリティ対策が講じられているとのことである。「当社が収集した情報の紛失や誤用からサイトを守るため、当社のサーバーはファイアウォールによって保護されており、セキュリティをさらに強化するために物理的に安全なデータ設備に配置されている。 外部の攻撃から100%安全なコンピュータはありませんが、個人情報を保護するために取った手順は、情報の種類に適したセキュリティ問題の可能性を大幅に低下させると考えている」
しかし、これらの保証はいつでも彼らの物理的な場所を明らかにすることを心配している携帯電話を持っている誰にでも中空になるかもしれない。 モバイル・ロケーションデータをルックアップするために悪用される可能性のあるLocationSmartのWebサイトのコンポーネントは、Webサイト訪問者による特定のクエリに応答してデータを表示するように設計された、安全でないアプリケーションプログラミングインターフェイスまたはAPIである。
”LocationSmart”のデモ・ページでは、ユーザーが携帯電話をサービスに配置することに「同意」する必要があったが、実際”LocationSmart”は明らかにAPI自体との直接的なやりとりを防止または認証を行わなかった。
API認証の弱点は珍しいことではないが、短期間で多くの人に機密データを公開する可能性がある。2018年4月2日、KrebsOnSecurity は、 Fast-casualベーカリーチェーンPaneraBread.comのWebサイトで食品をオンラインで注文するためにPaneraBreadのアカウントにサインアップした者が、数千万の顧客のために名前、電子メールアドレス、物理アドレス、誕生日、クレジットカードの最後の4桁を公開したAPI の話を取り上げた。
ロン・ワイデン(Ron Wyden (民主党、オレゴン州選出)上院議員(財政委員会のランキング・メンバー)は、 Securusのリスク暴露記事を受けて、全米トップ4つの無線通信会社と米国連邦通信委員会に送った5月9日付けの手紙で、すべての当事者に対し、非公開の顧客データの無制限の開示と潜在的な濫用問題につき先を見越した手順をとるよう強く求めた。
ワイデン議員は、「Securusは、AT&Tの顧客のリアルタイムの位置情報を主要な無線通信事業者との商業的関係を持つ第三者ロケーション・アグリゲータを通じて購入し、政府の顧客と定期的に情報を共有することを私のオフィスに通知してきた。この実務では、無線通信事業者の法的義務が、政府がアメリカの電話記録の監視を行い、何百万人ものアメリカ人を政府の潜在的な虐待と未確認の監視にさらす唯一の道筋になるといえる」
”Securus”は、LocationSmartから携帯電話の位置情報を入手したと報じられているが、ニューヨークタイムズに対し、顧客が令状や宣誓供述書などの法的文書をアップロードし、その活動が承認されたことを証明するよう要求している。 しかし、ワイデン議員は自身の手紙で、「Securusの上級幹部は、実際に裁判所命令であるかどうかを判断するためにアップロードされた文書の合法性を決して確認せず、そうする義務があるという提案を却下していた」と述べている。
”Securus”はBrian Krebsからのコメントの要求に応答しなかった。
(3) 電子通信事業者の反応
AT&T、Sprint、T-Mobile、Verizonがこの問題につきどう対処しようとしているかは不明である。 顧客の位置情報を漏らしているサードパーティ企業(位置情報追跡企業)は、各モバイルプロバイダーのプライバシー・ポリシーに違反するだけでなく、リアルタイムでこのデータを公開すると、米国内のすべてのモバイル・ユーザーにプライバシーとセキュリティのリスクが深刻な影響を及ぼす。
”LocationSmart”がWebサイトのコーポレート・ロゴによってそれぞれリストしているにもかかわらず、大手通信事業者の中には”LocationSmart”との正式なビジネス関係を確認または拒否するものはない。
AT&Tのスポークスマン、 ジム・グリア(Jim Greer)氏は、「AT&Tは『顧客の同意』または『法執行機関の要請』がなければ、ロケーション情報の共有を許可しない。第三者たるベンダーが当社のポリシーを遵守していないことを知った場合は適切な措置を講じる」と述べた。
T-MobileはBrian Krebsに対し、無線通信業界の国際協会であるCTIAが定めた「GPS位置情報等を利用した位置情報サービスに関するベスト・プラクティス・ガイドライン(Best Practices and Guidelines for Location-Based Services )」に準拠した自社のプライバシー・ポリシーに言及した。
また、”T-Mobile” の広報担当者は、「ワイデン上院議員の手紙を受け取った後、”Securus”と”LocationSmart”への顧客のロケーションデータの取引を直ちに停止する。また、顧客のデータのプライバシーとセキュリティを非常に真摯に受け止めている。SecurusとLocationSmartで確認された問題を解決し、そのような問題が解決され、お客様の情報が保護されるようにした。また、 我々はこの問題につき調査し続けている」と述べた。
”Verizon”はKrebsに対し自社のプライバシー・ポリシーに言及した。
”Sprint”の責任者は、以下の声明を発表した。
「お客様のプライバシーとセキュリティを守ることが最優先事項であり、私たちはプライバシー・ポリシーでその点を明確にしている。 念のため明らかいうと、当社は、消費者の機密情報を第三者に共有または売却することはない。 私たちは、個人的に識別可能な地理的位置情報を顧客の「同意を得て」、または「法執行機関からの有効な裁判所命令」などの合法的な要求に応じて共有する。
「私たちは、ワイデン上院議員から手紙で提出された質問に対し、適切なチャネルを通じて直接答えた。ただし、SprintとSecurusの関係にはデータ共有は含まれていないことに注意することが重要であり、刑務所携帯電話の不正使用を矯正施設で阻止する努力を支援する目的に限定されている。」
**************************************************************************
(筆者注1) ロバート・シャオ(Robert Xiao):カーネギーメロン大学「人間とコンピュータの相互作用研究所(Human-Computer Interaction Institute)」 に在籍する博士論文提出資格者で、2018年11月のブリテッシュコロンビア大学の助教に就任予定。
なお、HCIについて補足しておく。「ヒューマンコンピュータインタラクション(HCI: Human-Computer Interaction)は,人とコンピュータとのインタラクション(相互作用)に関する学際的な研究領域です.人とコンピュータとのインタラクションのみならず,人とロボットを代表とするような機械とのインタラクション,人と人とのインタラクション(あるいはコミュニケーション)も研究の対象となります.ユビキタス社会,知識協創社会の実現へ向けて,ヒューマンコンピュータインタラクションに関する研究は今後ますます重要になると考えられています.
ヒューマンコンピュータインタラクションの研究では,より良いインタラクションを実現するコンピュータシステムのデザイン,実装,評価をおこなうために,コンピュータシステムを利用する人間(ユーザ)への理解を深く追求することが必要となります.我々の研究グループでは,計算機科学をベースとして,認知科学,心理学,文化人類学,社会学,言語学,学習理論,デザイン理論,色彩理論などの分野で確立された知見を応用し,現在下記の研究テーマに取り組んでいます」( 国立大学法人・奈良先端科学技術大学院大学サイトから引用)
(筆者注2) ”Neustar、Inc.”.は、インターネット、テレコミュニケーション、エンターテイメント、マーケティング業界向けのリアルタイムの情報と分析を提供する米国のテクノロジー企業であり、グローバルコミュニケーションやインターネット業界に情報センターとディレクトリサービスも提供している。(Wikipedeiaを仮訳)
(筆者注3) Threatmatrixを一言でいう高度の技術をもって各種ビジネスや個人活動を支援するデジタル・アイデンティティ・カンパニーである。日本語解説サイト(https://www.threatmetrix.com/ja/cyber-security-solutions/payment-processing/)を参照されたい。
(筆者注4) US Cellular Corporationは、米国内で5番目に大きな無線通信ネットワークを所有し、運営する地域通信事業者であり、2017年第1四半期時点で米国23州426市場で500万の顧客にサービスを提供している。 同社はイリノイ州シカゴに本社を構えている。(Wikipedia から一部引用、仮訳)。
***************************************************************************
Copyright © 2006-2018 芦田勝(Masaru Ashida).All rights reserved. You may display or print the content for your use only. You may not sell publish, distribute, re-transmit or otherwise provide access to the content of this document.
