マザーボードは本日、米国の携帯電話事業者がユーザーの位置情報データを第三者に販売している実態を検証した レポートを発表しました。位置情報データは、多くの場合、クレジットカード会社などの金融機関が不正検知などの目的で購入していますが、マザーボードによると、一部の悪質な第三者がユーザーの位置情報にアクセスし、賞金稼ぎや闇市場の手に渡っているとのことです。
2019年2月7日更新: Motherboardは、過去数年間にわたるユーザーの位置情報データの販売について、より詳細な情報を提供する新たなレポートを発表しました。通信事業者は、バウンティハンターなどの第三者がユーザーの位置情報データを購入していた実態を軽視していますが、ある位置情報販売業者の文書は、より深刻な状況を浮き彫りにしています。
CerCareOneという会社の数字によれば、5年間でAT&T、T-Mobile、Sprintのユーザーの位置データを約250人の賞金稼ぎやその他の団体に18,000回以上販売していたことがわかっている。
マザーボードが、2017年まで営業していた現在は解散した位置情報データ販売会社CerCareOneから入手した内部文書によると、約250社の賞金稼ぎと関連企業がAT&T、T-Mobile、Sprintの顧客位置情報データにアクセスでき、ある保釈保証会社は電話位置情報サービスを1万8000回以上使用し、他の会社も数千回から数万回使用していた。文書には、データにアクセスできた企業だけでなく、それらの企業が接続した特定の電話番号も記載されている。
さらに悪いことに、賞金稼ぎの中には、入手したデータを他者に転売した者もいたとされる。
CerCareOne の業務に詳しい 2 人の独立した情報筋によると、これらの賞金稼ぎの一部はその後、位置情報の取り扱いを許可されていない者に位置情報を転売したという。
過去数年にわたりこの問題に関して通信事業者に圧力をかけてきたオレゴン州上院議員ロン・ワイデン氏は、 マザーボードに声明を発表した。
「このスキャンダルは悪化の一途を辿っています。通信事業者は顧客に対し、位置情報追跡の不正利用は単発的なものだと主張していました。しかし今や、何百人もの人物が私たちの携帯電話を追跡できていたことが明らかになりました。しかも、通信事業者が対策を講じる何年も前から、彼らはそれを行っていたのです」と、オレゴン州選出のロン・ワイデン上院議員は、マザーボードの調査結果を受け、メールで声明を発表しました。「これは単なる見落としではありません。アメリカ国民の安全と安心に対する、あからさまかつ故意の無視です。」
このストーリーに関する新しい詳細については、Motherboardで読んでください。
法執行機関やその他の政府機関が令状があれば携帯電話事業者からユーザーの位置情報データにアクセスできることは周知の事実ですが、 Motherboardによると、AT&T、T-Mobile、Sprintなどの通信事業者が位置情報データをサードパーティの位置情報アグリゲーターに販売する、より複雑で危険な市場が存在するとのことです。問題は、これらの企業が購入したデータをどのように利用できるかについて、監視がほとんど行われていないように見えることです。
調査では、さまざまな企業が携帯電話の位置情報にアクセスでき、その情報が携帯電話会社からさまざまな小規模企業に流れ、それらの企業が必ずしもそのデータを保護するための適切な安全対策を講じていないことも明らかになった。
マザーボードのジョセフ・コックスは、テストのターゲットになることに同意した人物のT-Mobileの電話番号から、その人物の居場所を追跡することに成功しました。賞金稼ぎに電話をかけ、300ドルを支払うことで、その目的は達成されました。
緊張しながら、ある賞金稼ぎに電話番号を教えた。彼は、警察ではなく個人や企業向けの、いかがわしく見過ごされがちなサービスを使って、携帯電話の位置情報を特定してくれると申し出てくれた。電話番号と数百ドルさえあれば、アメリカ国内のほとんどの携帯電話の現在位置を特定できると彼は言った。
注目すべきは、これにはハッキングや電話番号に関する背景知識は一切関係なかったことです。
賞金稼ぎは、ハッキングツールを導入したり、携帯電話の所在に関する事前情報を得たりすることなく、これらすべてを実行しました。マザーボードの調査によると、この追跡ツールは、賞金稼ぎに販売されているリアルタイムの位置情報データを利用しており、そのデータは最終的にT-Mobile、AT&T、Sprintなどの通信事業者自身から提供されたものであることが分かりました。こうした監視機能は、口コミを通じて販売されることもあります。
マザーボードによると、位置情報データを民間企業に販売している企業の一つは Microbiltです。レポートでは、同社からデータを購入している市場が複数あると指摘しています。
同社の製品に詳しい情報筋やマザーボードが入手した同社の文書によると、マイクロビルトという少なくとも1つの会社が、自動車販売員や不動産管理人から保釈保証人や賞金稼ぎまで、さまざまな民間産業にほとんど監視のない電話位置情報サービスを販売している。
すでに曖昧になっているこの問題をさらに複雑にしているのは、闇市場での位置データの転売だ。
すでにかなり疑わしいビジネス慣行に加えて、このスパイ機能は、Microbilt 社が知らないうちに、私を含め、同社から使用許可を得ていない他者に闇市場で転売されているようです。
こうした複雑なやり取りの網こそが、プライバシーとセキュリティに関する懸念を非常に厄介なものにしているのです。データが第三者の手に渡ってしまうと、通信事業者はまるで無力になってしまいます。
アメリカの携帯電話ユーザーの最も機密性の高いデータの一部を共有する複雑なサプライチェーンがあり、通信会社はそのデータが最終的なエンドユーザーによってどのように使用されるか、さらには誰の手に渡るかさえ知らない可能性がある。
通信事業者に関して言えば、AT&T、T-Mobile、Sprintなどを代表するCTIA(携帯電話通信産業協会)は、位置情報に基づくユーザーデータの送信は「ユーザーへの通知と同意という2つの基本原則」に依存していると述べたが、 マザーボードは 調査によりそれが機能していないことが証明されたと述べている。
マザーボードが話を聞いた通信会社やデータ収集会社は、顧客に対し、追跡したい人々から同意を得ることを義務付けていると述べたが、これが常に実行されているわけではないことは明らかだ。
マザーボードの調査により、ユーザーの位置データが以下の 6 つの関係者を経由して渡されていることが分かりました。
マザーボードは 、マイクロビルトのカスタマーサポートに電話したところ、 同社がユーザーの位置データをわずか5ドルで販売していることを発見した。
マザーボードは潜在顧客を装い、マイクロビルトのカスタマーサポート担当者に対し、保釈保証人向けに携帯電話の位置情報サービスを提供しているかどうかを明確に尋ねた。その後まもなく、別の担当者から価格表がメールで送られてきた。少数の端末を探す場合、携帯電話の位置情報サービスは1台あたりわずか4.95ドルで利用できるという。
AT&Tはマザーボードに対し、 この問題についてさらに調査を進めるため、Microbiltとの提携を解消したと回答した。
「当社は、詐欺防止や緊急ロードサービスなどの場合にお客様が許可した場合、または法律で義務付けられている場合にのみ、位置情報の共有を許可しています」とAT&Tの広報担当者は述べた。
Sprint も同様の声明を出しましたが、同社が Microbilt と間接的な関係を持っているかどうかは不明です。
スプリントはマイクロビルトと直接の関係はありません。お客様が契約条件に違反していると判断した場合、当社はその結果に基づいて適切な措置を講じます。」スプリントはマイクロビルトとの関係の詳細を明らかにしませんでした。
T-Mobileも同様の対応を取り、パートナーのZumigoがMicrobiltとの契約を解除したと発表した。
T-Mobileの広報担当者はMotherboardへのメールによる声明で、「当社は顧客情報のプライバシーとセキュリティを非常に重視しており、顧客データの不正使用を一切容認しません」と述べた。「T-MobileはMicrobiltと直接の関係はありませんが、当社のベンダーであるZumigoは同社と連携しており、T-Mobileデータのすべての送信を既に停止したことを確認しています。」
詳細な調査レポートの全文はこちらをご覧ください。
Appleのニュースをもっと知りたい方はYouTubeの9to5Macをご覧ください。
kapden.com を Google ニュース フィードに追加します。
FTC: 収益を生み出す自動アフィリエイトリンクを使用しています。詳細はこちら。
