スパイウェアメーカーのNSOグループは、政府やジャーナリストに新しいCOVID-19接触追跡システムを実演した際、何も知らない数千人の実際の電話位置情報データを使用したと研究者らは結論付けた。
民間情報機関NSOは、スパイウェア「ペガサス」の開発と政府へのアクセス権販売で最もよく知られていますが、今年初め、新型コロナウイルス感染症(COVID-19)の感染拡大追跡を支援することを目的とした接触追跡システム「フレミング」の売り込みに積極的な姿勢を見せました。フレミングは、携帯電話会社から位置情報データを提供することで、政府がウイルスの感染拡大を可視化・追跡できるように設計されています。NSOは複数の報道機関にフレミングのデモを提供しました。NSOによると、フレミングは政府が「個人のプライバシーを侵害することなく」公衆衛生上の意思決定を行うのに役立つとのことです。
しかし5月、セキュリティ研究者がTechCrunchに対し、NSOがFlemingの仕組みを実演するために使用した数千もの位置データポイントを保存する、公開されたデータベースを発見したと語った。これは数週間前に記者が見たものと同じデモだった。
TechCrunchは、このセキュリティ上の欠陥をNSOに報告し、NSOはすぐにデータベースの安全を確保したが、位置データは「実際の本物のデータに基づいていない」と述べた。
NSOは位置情報データが本物ではないと主張したが、イスラエルメディアの報道とは異なっていた。報道によると、NSOはデータブローカーと呼ばれる広告プラットフォームから取得した携帯電話の位置情報データをシステムの「トレーニング」に使用していたという。フレミングのデモも体験した、学術研究者でプライバシー専門家のテヒラ・シュワルツ・アルトシュラー氏は、NSOから、データはデータブローカーから取得したものだと説明されたと述べた。データブローカーは、数百万台の携帯電話にインストールされているアプリから収集された膨大な位置情報データへのアクセスを販売している。
TechCrunchは、ロンドン大学ゴールドスミス校で人権侵害を研究・調査する学術ユニット「フォレンジック・アーキテクチャー」の研究者に調査を依頼した。研究者らは水曜日に調査結果を発表し、漏洩したデータは実際の携帯電話の位置情報に基づいている可能性が高いと結論付けた。
研究者らは、もしデータが本物であれば、NSOはルワンダ、イスラエル、バーレーン、サウジアラビア、アラブ首長国連邦(NSOのスパイウェアの顧客とされる国々)の3万2000人の「プライバシーを侵害した」ことになると述べた。
テッククランチイベント
サンフランシスコ | 2025年10月27日~29日
研究者たちは、公開された携帯電話の位置情報データのサンプルを分析し、大都市への人口集中や、個人がある場所から別の場所へ移動するのにかかる時間を測定することで、実際の人々の位置情報データに見られると予想されるパターンを探しました。また、衛星への視線が高層ビルによって遮られている状況で、携帯電話が正確に位置を特定しようとする際に生じる星のようなパターンなど、実際のデータに見られるであろう空間的な不規則性も発見しました。
「サンプルに含まれる空間的な『不規則性』は、実際のモバイル位置情報の軌跡に共通する特徴であり、これが実際のデータであるという我々の評価をさらに裏付けています。したがって、このデータセットは『ダミー』でもコンピューター生成データでもなく、通信事業者や第三者機関から取得された可能性のある、実際の個人の動きを反映している可能性が高い」と研究者らは述べている。
研究者らは、NSO の Fleming デモに位置データが入力された個人の匿名性を維持しながら、調査結果を説明するために地図、グラフ、視覚化を作成しました。
モバイルネットワークセキュリティの専門家であり、サイバーインテリジェンス企業Exigent Mediaの創設者でもあるゲイリー・ミラー氏は、いくつかのデータセットとグラフを検証し、それが実際の携帯電話の位置情報データであると結論付けた。
ミラー氏は、人口密集地周辺でデータポイントの数が増加したと述べた。「ある時点における携帯電話の位置の散布図を見ると、郊外と都市部でデータポイントの数に一貫性が見られる」とミラー氏は述べた。また、ミラー氏は人々が一緒に移動している証拠も発見し、「実際の携帯電話データと一致しているように見えた」と述べた。
彼はまた、「匿名化された」位置情報データセットであっても、個人がどこに住んでいて、どこで働いているのか、誰を訪問しているのかなど、個人について多くのことを知るために利用できると述べた。「位置情報の移動パターンを見るだけで、個人について多くの詳細を知ることができます」と彼は述べた。
「すべての類似点を合計すると、これが実際のモバイルネットワークデータではないと結論付けるのは非常に難しいだろう」と彼は述べた。
シチズン・ラボのシニアリサーチャー、ジョン・スコット=レールトン氏は、これらのデータは、位置情報データの精度向上を目的として、GPSの直接データ、近くのWi-Fiネットワーク、そしてスマートフォンの内蔵センサーを組み合わせて利用するスマートフォンアプリから取得された可能性が高いと述べた。「しかし、完璧なデータなどあり得ません」と同氏は指摘する。「データブローカーから購入するような広告データであれば、このようなデータになるはずです」
スコット=レールトン氏はまた、NSOは「できる限り現実的で代表的なデータで[フレミング氏]を訓練したい」ため、接触追跡システムにシミュレーションデータを使用することは「逆効果」になると述べた。
「私が見た限りでは、フォレンジック・アーキテクチャーによる分析は、テヒラ・シュワルツ・アルトシュラー氏の以前の発言と一致している」とスコット=レールトン氏は述べ、NSOから実際のデータに基づいていると言われたというこの学者のことを言及した。
「この状況全体は、スパイウェア会社が機密情報や個人情報の可能性を軽視している様子を浮き彫りにしている」と彼は語った。
NSOは研究者らの調査結果を否定した。
「我々は想定される検査を見ておらず、これらの結論がどのように得られたのか疑問に思わざるを得ません。しかしながら、2020年5月6日の前回の回答は変わりません。デモ資料は、COVID-19感染者に関する実際の真のデータに基づいていませんでした」と、匿名の広報担当者は述べた。(NSOの以前の声明では、COVID-19感染者については言及されていませんでした。)
前回の声明で詳述したとおり、デモに使用したデータには個人を特定できる情報(PII)は一切含まれていませんでした。また、前述のとおり、このデモは難読化されたデータに基づくシミュレーションでした。Flemingシステムは、エンドユーザーから提供されたデータを分析して、この世界的なパンデミックのさなか、医療意思決定者を支援するツールです。NSOは、このシステムのためにいかなるデータも収集しておらず、また、収集されたデータにアクセスすることもできません。
NSOは、データの出所や入手方法など、私たちの具体的な質問には回答しなかった。同社はウェブサイト上で、フレミングは「既に世界各国で運用されている」と主張しているが、政府機関の顧客であるかどうかについては、質問に対し肯定も否定もしなかった。
お問い合わせ
ヒントをお持ちですか?SecureDrop を使って安全にご連絡ください。詳細はこちらをご覧ください。
イスラエルのスパイウェア製造会社が接触追跡に力を入れているのは、同社が米国で訴訟を起こされ、その訴訟で同社のスパイウェア「ペガサス」へのアクセスを購入している政府に関する情報がさらに明らかになる可能性があるため、イメージ回復の手段とみられている。
NSOは現在、Facebook傘下のWhatsAppとの訴訟に巻き込まれている。昨年、WhatsAppはNSOがWhatsAppの未公開の脆弱性を悪用し、ジャーナリストや人権活動家を含む約1,400台の携帯電話にペガサスを感染させたとして、NSOを訴えた。NSOは、政府を代表して活動しているため、法的免責を与えられるべきだと主張している。しかし、Microsoft、Google、Cisco、VMwareは今週、WhatsAppを支持するアミカス・ブリーフを提出し、裁判所に対しNSOの免責の主張を却下するよう求めている。
このアミカス・ブリーフは、サウジアラビアやアラブ首長国連邦を含むNSOの顧客によって数十人のジャーナリストがペガサス・スパイウェアの標的にされていたという証拠をシチズン・ラボが発見した直後に提出された。NSOはこの調査結果に異議を唱えた。
