位置情報データブローカー Gravy Analytics でのハッキングとデータ漏洩により、世界中の何百万人もの人々のプライバシーが脅かされている。スマートフォンのアプリによって、このデータ大手が収集した位置情報データが知らない間に公開されていたのだ。
データ侵害の全容はまだ明らかになっていないが、容疑者は既に、フィットネス・健康、出会い系、交通機関アプリ、人気ゲームなど、消費者向けスマートフォンアプリから大量の位置情報データサンプルを公開している。このデータは、人々の過去の訪問先、居住地、勤務地、移動先に関する数千万点の位置情報データポイントを表している。
情報漏洩のニュースは先週末、ハッカーが非公開のロシア語サイバー犯罪フォーラムに位置情報のスクリーンショットを投稿したことで報じられました。ハッカーは、Gravy Analyticsから数テラバイトの消費者データを盗んだと主張しました。独立系ニュースメディアの404 Mediaが、この情報漏洩疑惑を主張するフォーラム投稿を最初に報じました。投稿には、数百万台のスマートフォンの位置情報履歴データが含まれていると主張されていました。
ノルウェーの放送局NRKは1月11日、Gravy Analyticsの親会社Unacastが、同国の法律に基づき、同国の個人情報保護当局に情報漏洩を報告したと報じた。
2004年にノルウェーで設立されたUnacastは、2023年にGravy Analyticsと合併し、当時「最大級」と謳っていた消費者の位置情報データ収集体制を構築しました。Gravy Analyticsは、世界中で10億台以上のデバイスを毎日追跡していると主張しています。
ノルウェーに提出したデータ侵害通知の中で、Unacastは1月4日にハッカーが「不正に使用されたキー」を通じてAmazonクラウド環境からファイルを入手したことを確認したと述べています。Unacastはハッカーとのやり取りを通じて侵害を認識したと述べていますが、それ以上の詳細は明らかにしていません。同社は、侵害後、業務が一時的にオフラインになったと述べています。
Unacastは通知の中で、英国のデータ保護当局にもこの侵害を報告したと述べています。英国情報コミッショナー事務局の広報担当者、ルーシー・ミルバーン氏はTechCrunchに対し、ICOが「Gravy Analyticsから報告を受け、調査を行っている」と認めました。
今週、TechCrunchからコメントを求める複数のメールを受け取ったが、Unacastの幹部ジェフ・ホワイト氏とトーマス・ウォール氏は返答しなかった。日曜日にGravy Analyticsの一般的なメールアカウントからTechCrunchに送信された、出所不明の声明の中で、Unacastは侵害を認め、「調査は継続中」と述べた。
Gravy Analyticsのウェブサイトは、本稿執筆時点ではまだダウンしていました。TechCrunchが過去1週間にわたって確認したところ、Gravy Analyticsに関連する他のいくつかのドメインも機能していないようです。
これまでに3000万の位置データポイントが漏洩
データプライバシー擁護派は、データブローカーが個人のプライバシーと国家安全保障に及ぼすリスクについて長年警告してきた。ハッカーが投稿したGravy Analyticsの位置データサンプルにアクセスできる研究者らは、この情報を利用して人々の最近の居場所を広範囲に追跡できる可能性があると述べている。
漏洩したデータセットのコピーを入手したデジタルセキュリティ企業Predicta LabのCEO、バティスト・ロバート氏は、Xのスレッドで、データセットには3,000万以上の位置情報ポイントが含まれていると述べた。これには、ワシントンD.C.のホワイトハウス、モスクワのクレムリン、バチカン市国、そして世界中の軍事基地に設置されたデバイスが含まれている。ロバート氏が共有した地図の1つには、英国全土のTinderユーザーの位置データが示されていた。別の投稿では、盗まれた位置情報データを既知のロシア軍施設の位置と重ね合わせることで、軍人である可能性のある個人を特定できることを示した。
ロバート氏は、このデータによって一般人の匿名性が容易に剥がされる可能性があると警告した。ある例では、ニューヨークからテネシー州の自宅までの移動を追跡した人物がいた。フォーブス誌は、このデータセットがLGBTQ+ユーザーにとって危険であると報じた。特定のアプリから得られる位置情報は、同性愛を犯罪とする国では、ユーザーを特定できる可能性があるからだ。
この情報漏洩のニュースは、連邦取引委員会(FTC)が、政府機関や法執行機関に位置情報データを提供するGravy Analyticsとその子会社Venntelに対し、消費者の同意なしに米国民の位置情報データを収集・販売することを禁止してから数週間後に報じられた。FTCは、同社が数百万人もの人々を医療クリニックや軍事基地といった機密性の高い場所に違法に追跡していたと非難した。
広告ネットワークから取得した位置データ
Gravy Analytics は、その位置データの多くをリアルタイム入札と呼ばれるプロセスから取得しています。リアルタイム入札は、数ミリ秒単位のオークションでどの広告主がユーザーのデバイスに広告を配信するかを決定する、オンライン広告業界の重要な部分です。
ほぼ瞬時に行われるオークション中、入札するすべての広告主は、メーカーやモデルの種類、IP アドレス(ユーザーのおおよその位置を推測するために使用できます)などのデバイスに関する情報を確認できます。また、場合によっては、アプリのユーザーが許可した場合はより正確な位置情報も確認できます。さらに、ユーザーにどの広告が表示されるかを決定するのに役立つその他の技術的要因も確認できます。
しかし、このプロセスの副産物として、入札する広告主、あるいはオークションを綿密に監視する者は、デバイス情報を含むいわゆる「入札ストリーム」データの宝庫にもアクセスできるようになります。政府機関に販売するデータブローカーを含むデータブローカーは、収集された情報を他の情報源から得た個人に関するデータと組み合わせることで、個人の生活や居場所に関する詳細な情報を得ることができます。
Predicta Labのロバート氏を含むセキュリティ研究者による位置データの分析により、多くの場合は知らないうちに、入札ストリームデータをデータブローカーと共有していた広告表示アプリが数千個あることが明らかになった。
このデータセットには、FlightRadar、Grindr、Tinderといった人気のAndroidおよびiPhoneアプリから得られたデータが含まれています。これらのアプリはいずれもGravy Analyticsとの直接的なビジネス上の関連性を否定していますが、広告の表示については認めています。しかし、広告業界の仕組み上、広告配信アプリがユーザーのデータを収集しながらも、ユーザーがそのデータについて明示的に認識したり同意したりしていない可能性も存在します。
404 Mediaが指摘しているように、Gravy Analyticsがどのようにして膨大な位置情報データを入手したのか、例えば、同社が自らデータを収集したのか、あるいは他のデータブローカーから収集したのかは不明だ。404 Mediaは、位置情報データの大部分は、デバイス所有者がアプリにデバイスの正確なGPS座標へのアクセスを許可したわけではなく、実際の位置情報を近似するために地理的に特定されたデバイス所有者のIPアドレスから推測されたものであることを発見した。
広告監視を防ぐためにできること
デジタル著作権団体の電子フロンティア財団によれば、広告オークションはほぼすべてのウェブサイトで行われているが、広告監視から身を守るために講じられる対策がある。
広告ブロッカー(またはモバイルレベルのコンテンツブロッカー)を使用すると、ユーザーのブラウザでウェブサイトに広告コードが読み込まれるのを最初からブロックすることで、広告監視に対する効果的な防御策となります。
AndroidデバイスとiPhoneには、広告主がアプリ間やウェブ上でユーザーを追跡したり、匿名化されたデバイスデータを現実世界のアイデンティティと結び付けたりすることを困難にするデバイスレベルの機能も組み込まれています。EFFは、これらのデバイス設定を確認する方法についての優れたガイドも提供しています。
Appleデバイスをお持ちの場合は、「設定」の「追跡」オプションに移動し、アプリによる追跡リクエストの設定をオフにすることができます。これにより、デバイスの固有識別子がゼロになり、他のデバイスと区別できなくなります。
「アプリの追跡を無効にすれば、データは共有されません」とロバート氏はTechCrunchに語った。
Androidユーザーは、スマートフォンの設定で「プライバシー」→「広告」セクションに移動してください。オプションが利用可能な場合は、広告IDを削除することで、スマートフォン上のアプリが今後デバイスの固有IDにアクセスできないようにすることができます。この設定が利用できない場合でも、広告IDを定期的にリセットする必要があります。
必要のないときにアプリが正確な位置情報にアクセスできないようにすると、データ使用量の削減にも役立ちます。
ICO からのコメントを更新しました。
Zack Whittakerへの連絡は、SignalとWhatsApp(+1 646-755-8849)で安全に行えます。また、SecureDrop経由でTechCrunchと安全にドキュメントを共有することもできます。
