位置情報ブローカーX-Modeは、アプリストアの禁止にもかかわらずユーザーの追跡を続けている

テッククランチイベント

X-Modeは、アプリ開発者にソフトウェア開発キット（SDK）と呼ばれる追跡コードを組み込む報酬を支払い、その見返りとしてユーザーの位置情報の収集と提供を行っています。ユーザーはアプリの利用規約とプライバシーポリシーに同意することで、この追跡をオプトインします。しかし、X-Modeを使用するすべてのアプリが、ユーザーの位置情報がデータブローカーに渡ったり、軍事関連企業に販売されたりする可能性があることをユーザーに開示しているわけではありません。

X-Mode と軍事請負業者 (ひいては米軍) とのつながりは、Motherboard によって初めて明らかにされ、同紙は、世界中で 9,800 万回以上ダウンロードされている人気の祈祷アプリが詳細な移動データを X-Mode に送信していたことを最初に報じた。

11月、Motherboardは、これまで報告されていなかった別のイスラム教徒向け祈祷アプリ「Qibla Compass」がX-Modeにデータを送信していることを発見しました。O'Brien氏の調査結果はこれを裏付けるものであり、さらに複数のイスラム教徒向けアプリがX-Modeを含んでいると指摘しています。Motherboardはネットワークトラフィック分析を実施し、これらのアプリのうち少なくとも3つが、ある時点でX-Modeに位置情報データを送信していたことを確認しました。ただし、現在Google Playで提供されているバージョンはどれもX-Modeに送信していません。Motherboardの記事全文は、こちらでご覧いただけます。

X-Modeの最高経営責任者（CEO）ジョシュ・アントン氏は昨年、CNNに対し、データブローカーは米国で2500万台のデバイスを追跡していると語り、マザーボードに対して、同社のSDKは約400個のアプリで使用されていると語った。

TechCrunchへの声明の中で、アントン氏は次のように述べた。

X-ModeのSDKの禁止は、X-Modeがほとんどの広告SDKと同様のモバイルアプリデータを収集していたことを考えると、エコシステム全体に大きな影響を与えます。AppleとGoogleは、たとえパブリッシャーの大多数が位置情報データの収集と利用について二次的な同意を得ていたとしても、民間企業によるモバイルアプリデータの収集と利用を制限できるという前例を作りました。

私たちは先日、AppleとGoogleに書簡を送り、この問題を共同でどのように解決するのが最善かについて協議しました。これにより、両社は引き続き位置情報データを活用して人命を救い、テクノロジーコミュニティが位置情報に基づく製品を開発する能力を強化できるようになります。位置情報データの収集と利用に関しては、AppleとGoogleがX-Modeに対しても、自社に課している基準と同じ基準を適用してもらうことが重要だと考えています。

研究者らは、X-Mode の SDK を使用するアプリが通信することが知られている新しいエンドポイントも公開しました。オブライエン氏は、このエンドポイントが、どのアプリがユーザーの位置データを X-Mode に送信しているか、または過去に送信していたかを発見するのに役立つことを期待していると述べています。

「消費者が、自分がこうした位置情報トラッカーの標的になっているかどうかを認識できることを願っています。そして何よりも重要なのは、こうしたスパイ行為の終結を要求できるようになることです。研究者には、私たちの研究結果を基に公共の利益のために活動を展開し、プライバシー、セキュリティ、そして権利に対するこうした脅威に光を当ててほしいと考えています」とオブライエン氏は述べた。

TechCrunch は、研究者の調査結果の中で最もダウンロード数が多かった約 24 個の Android アプリのネットワーク トラフィックを分析し、既知の X-Mode エンドポイントと通信しているアプリを探した結果、いくつかのアプリが何らかの時点で X-Mode に位置データを送信していたことを確認しました。

また、研究者が特定したエンドポイントを使用して、X-Mode と通信した可能性のある他の人気アプリも探しました。

TechCrunchが特定した少なくとも1つのアプリは、Googleのアプリストアの禁止を逃れた。

Sensor Towerのデータによると、ニューヨーク市地下鉄の路線図をナビゲートする人気アプリ「New York Subway」は、25万回ダウンロードされている。今週時点でもGoogle Playに掲載されていた。しかし、アプリストアの規制実施以降更新されていなかったこのアプリは、依然としてX-Modeに位置情報を送信していた。

アプリが読み込まれるとすぐに、スプラッシュスクリーンが表示され、広告、分析、市場調査のためにデータをX-Modeに送信することに同意するかどうかをユーザーに尋ねますが、アプリはX-Modeの政府関連の仕事については触れていません。

イスラエルに拠点を置くアプリ開発会社Desolineは、複数回のコメント要請には応じなかったものの、問い合わせから間もなくプライバシーポリシーからX-Modeに関する記述を削除した。本稿執筆時点では、このアプリはGoogle Playに再掲載されていない。

Googleの広報担当者は同社がGoogle Playからアプリを削除したことを確認した。

TechCrunchは、研究者らのアプリリストを用いて、現在までに1億1500万回以上ダウンロードされている2つの人気アプリ「Moco」と「Video MP3 Converter」の旧バージョンが、依然としてユーザーの位置情報をX-Modeに送信していることも発見しました。これは、Google Play以外からAndroidアプリをインストールするユーザーや、依然としてX-Modeにデータを送信している古いアプリを実行しているユーザーにとって、プライバシーリスクとなります。

どちらのアプリメーカーもコメント要請に応じなかった。Googleは、同様の違反で他のアプリを削除したかどうか、また、位置情報データをX-Modeに送信し続けている古いバージョンのアプリを使用しているユーザーを保護するためにどのような対策を講じる予定か（もし講じる場合）については明らかにしなかった。

我々がテストしたAppleのiOS向け対応アプリや同名のアプリは、X-Modeのエンドポイントと通信していないようでした。Appleに連絡を取ったところ、禁止措置発効後にアプリをブロックしたかどうかについては回答を拒否しました。

「スマートフォンのセンサーは、私たちの行動、表現の自由、そして自律性を制限するために悪用される可能性のある豊富なデータを提供します」とオブライエン氏は述べた。「位置情報のスパイ活動は、私たちの生活の最もデリケートな側面や、私たちが誰と付き合っているかを知ることになるため、人権に対する深刻な脅威となります。」

新たに発表された調査は、一般的なスマートフォンアプリが、多くの場合ユーザーの明確な同意を得ることなく、何百万人ものアメリカ人の膨大な個人データを収集し販売している方法について、新たな調査結果をもたらすものとなるだろう。

内国歳入庁（IRS）や国土安全保障省を含む複数の連邦機関が、令状を取得せずに様々なデータブローカーから位置情報データを購入・使用していたとして、政府の監視機関の捜査を受けている。先週、国防情報局（DIA）の情報分析官が、アメリカ人の位置情報データの商用データベースへのアクセスを購入していたことが明らかになった。

批評家は、法執行機関が令状なしで携帯電話会社から直接携帯電話の位置情報を入手することを禁じた2018年の最高裁判決の抜け穴を政府が利用していると指摘している。

現在、政府はブローカーから直接購入できるものについては令状は必要ないと考えていると述べている。

プライバシー批判で声高に批判し、データブローカー業界の調査を行っているロン・ワイデン上院議員は、連邦取引委員会にデータブローカーを規制し罰金を科す新たな権限を与える法案を以前起草したことがある。

「アメリカ人は、自分たちの位置情報がデータブローカーによってクレジットカードを持つ誰にでも売られているという事実にうんざりしています。業界の自主規制は明らかに機能していません。議会は、私の「自分のビジネスを自制せよ」法案のような厳しい法律を可決し、消費者が自分のデータの販売を防ぐための効果的な手段を提供し、FTC（連邦取引委員会）にアメリカ国民のプライバシーを侵害した企業に責任を問う権限を与える必要があります」とワイデン氏は述べた。

SignalとWhatsAppで+1 646-755-8849まで安全にヒントを送信できます。SecureDropでファイルや文書を送信することもできます。