昨年、海外に駐留する米軍および諜報機関の職員の位置データがフロリダを拠点とするデータブローカーによって販売されていたことが発覚したが、当時はその機密データの出所は不明であった。

現在では、このデータはリトアニアの広告テクノロジー企業と収益分配契約を結んださまざまなモバイルアプリによって収集され、その後アメリカの企業によって転売されたと主張されている…

アプリが取得する位置情報データの問題

多くのアプリが位置情報を取得します。地図アプリや乗換案内アプリなど、一部のアプリでは位置情報の取得は必須です。一方、写真が撮影された場所を保存できるカメラアプリのように、間接的なメリットを持つアプリもあります。例えば、Appleのカメラアプリは位置情報を保存することで、特定の場所で撮影された写真を検索できるようにしています。

しかし、明確な理由もなく位置情報データを収集するアプリも無数に存在します。iOSはアプリに位置情報の許可を求めるよう強制しており、おそらく誰もが、明確な理由もなく位置情報の許可を求めるポップアップを表示するアプリを見たことがあるでしょう。

これは、位置情報データが広告主にとって貴重な情報源だからだと考えられます。開発者はアドテク企業と契約を結び、収益の一部を受け取る代わりに、アプリ内の広告を国別（あるいは都市別）にターゲティングできるようにしています。

問題は、こうした契約の多くが曖昧な条項を含んでおり、位置情報の再販が認められる可能性があることです。たとえ契約で再販が認められていない場合でも、悪質な企業はそれを転売することが可能です。

米軍および諜報員向けに売却された場所

昨年、米国企業であるデータストリームが米軍および情報機関職員の位置データを販売していたことが明らかになりました。Wiredなどの調査では、このデータがどのように収集されたかについての主張が示されました。

WIRED、バイエルン放送（BR）、Netzpolitik.orgによる共同調査では、Datastreamが提供する位置情報の無料サンプルを分析しました。その結果、Datastreamが、海外にある米軍および情報機関の職員が所有していると思われるデバイスから、正確な位置情報へのアクセスを提供していたことが明らかになりました。これには、米国の核兵器が保管されているとみられるドイツ空軍基地も含まれています。Datastreamは位置情報データの歴史におけるデータブローカーであり、他のプロバイダーからデータを入手し、顧客に販売しています[…]

このデータは、データブローカーとの収益分配契約と引き換えに追跡ツールを故意に統合した開発者によって、モバイルアプリに埋め込まれた SDK (ソフトウェア開発キット) を通じて収集された可能性が高い。

この報道を受けて、ロン・ワイデン上院議員の事務所は、データストリーム・グループに対し、米軍人の位置データの不正取引における同社の役割について説明を求めました。これに対し、データストリームはEskimiを情報源として特定し、「信頼できるサードパーティプロバイダーであるEskimi.comから合法的に」データを入手したと述べました。

Eskimiはリトアニアの広告テクノロジー企業で、データは再販されるべきではなかったと主張している。

更新：Wiredは記事を更新し、Eskimiが一切の関与を否定していると述べた。

WIREDや404 Mediaを含む国際メディア連合が入手した、米国上院議員ロン・ワイデン氏の事務所宛ての書簡によると、そのデータの最終的な情報源は、あまり知られていないリトアニアのアドテク企業Eskimiだったという。一方、Eskimiは関与を否定している。

エスキミの疑惑的な役割、そしてその否定は、位置情報データ業界の不透明性を浮き彫りにしている。フロリダ州のデータブローカーは、リトアニア企業がドイツ駐留米軍関係者のデータを提供したと主張している。理論上、そのデータは実質的に誰にでも販売可能である。しかし、データがどのように収集、集計、共有されるのかは、依然として不明である。

現時点では、どのアプリがデータのソースであったかは不明ですが、調査は継続中です。また、開発者が締結した契約書に、位置情報データがアプリ内での広告配信のみに使用されるのではなく、実際に再販されることが認められていたかどうかも不明です。

誰かが特に軍事データを収集しようとしたとは示唆されていないが、国内外の米軍基地の所在地でフィルタリングすることは、現役軍人である可能性のある人々を特定する非常に単純な方法となるだろう。

「より優れたビジネスモデルを持つ監視会社」

サイバーセキュリティ企業Silent Pushのシニア脅威アナリスト、ザック・エドワーズ氏は、これは深刻化する問題の一例に過ぎないと指摘する。多くのアドテク企業が企業と政府の両方に位置情報データを販売しているとエドワーズ氏は指摘する。

「広告会社は、単にビジネスモデルがより優れている監視会社にすぎない」とエドワーズ氏は言う。

海外に駐留する軍人の位置情報をアプリが漏洩したのは今回が初めてではありません。軍や米国の法執行機関が位置情報を購入していた事例も知られています。

• スマホアプリで販売された位置情報でシリアにおける米軍の動きが明らかに
• Stravaデータから海外の米軍基地の位置とデジタル地図が公開
• 米軍がイスラム教の礼拝アプリなどから位置情報データを購入
• 1200万台の携帯電話の「プライバシーゼロ」位置情報追跡データベースにあなたも登録されているかもしれない
• スマートフォンの位置情報の不正使用に関する国土安全保障省のこれまで秘密だった報告書が公開された。
• 警察はWaze、スターバックスなどの人気アプリから収集したスマートフォンの位置情報データを秘密裏に使用している

9to5Macの見解

軍事データの機密性はさておき、プライバシーポリシーの細則に何が書かれていようとも、iPhone や Android アプリを使用する人の中で自分の位置データが再販されることを望んでいる人はいないでしょう。

機密性の高い個人データの販売を禁止する法律を制定すべき時が来ています。

UnsplashのJoel Rivera-Camachoによる写真

havebin.com を Google ニュース フィードに追加します。