セキュリティ研究者のトレバー・エッカート氏が最近、AndroidやBlackBerry搭載の診断ソフトウェアがマルウェアのように動作していると主張したことを受け、多くの携帯電話ユーザーが、AndroidやBlackBerry搭載のデバイスがスパイ活動を行っているのではないかと懸念している。エッカート氏によると、キャリアIQ社が開発し、携帯電話メーカーや通信事業者がデバイスにインストールしたこのソフトウェアは、キー入力やウェブ閲覧履歴といったユーザーデータを密かに記録していたという。キャリアIQ社のソフトウェアは、世界中で1億4000万台以上の携帯電話に搭載されている。
キャリアIQはエッカート氏の主張を否定し、同社の技術は携帯電話の性能とネットワーク品質を向上させるための診断目的にのみ使用されていると述べている。
キャリアIQは何か悪いことをしているのでしょうか?同社のソフトウェアは、端末から必要以上に多くの情報を収集しているのでしょうか?それとも、キャリアIQのソフトウェアの機能に関する大きな誤解なのでしょうか?
私たちが知っていることの内訳は次のとおりです。
何が発見されましたか?
エッカート氏は11月中旬、キャリアIQが開発したソフトウェアに関するレポートを発表しました。このソフトウェアは、メーカーや通信事業者がサービス品質を向上させるのに役立つ診断ツールであるはずでした。しかし、エッカート氏は、キャリアIQのソフトウェアは実際には携帯電話のアクティビティを密かに記録するルートキットであると主張しました。
エッカート氏によると、Carrier IQ診断ソフトウェアは、AndroidやBlackBerryを含む多くのスマートフォンにインストールされている。後にiOSデバイスにもCarrier IQソフトウェアが発見されたが、無害なようだ。
ビデオ:キャリアIQが個人のモバイルデータを取得
ソフトウェアは何をしてたんですか?
エッカート氏はYouTubeに、HTCの携帯電話で動作していると思われるCarrier IQソフトウェアの動画を投稿しました。動画では、Carrier IQソフトウェアがキー操作(携帯電話のテンキーを含む)、SMSメッセージ、位置情報、そしてhttps(SSL)経由で送信される暗号化データを含むWeb閲覧履歴を記録している様子が確認できます。これらのデータがCarrier IQに送信されたかどうかは不明です。
すべての携帯電話で同じことが行われるのでしょうか?
エッカート氏のデモンストレーションでは、キャリアIQのソフトウェアがHTCの携帯電話上で何を行っていたかのみが示されています。エッカート氏の報告によると、サムスンの端末も画面タップやブラウザのURLなど、同様の情報の一部を記録していたようです。
開発者の Grant Paul 氏 (著者とは無関係) は、iOS デバイスでは、Carrier IQ ソフトウェアが、電話番号、通信事業者、国、通話がアクティブな時間、位置情報サービスがオンになっている場合は位置情報など、より限定された情報にアクセスしていたと主張しています。
The Verge は、Nexus One、Nexus S、Galaxy Nexus を含む Motorola の Xoom または Nexus ブランドの Android スマートフォンには Carrier IQ ソフトウェアが搭載されていないと報じています。
Carrier IQ ソフトウェアは削除できますか?
ルート化されたデバイスがない限り、Android フォンでこのソフトウェアを削除することはできないようです。
ポール氏によると、設定アプリケーションで「診断と使用状況」をオフにすることで、iOS 5 デバイス上の Carrier IQ を停止できるとのことです。
キャリアIQとは何ですか?
キャリアIQはカリフォルニアに拠点を置く企業で、通信事業者や端末メーカーに「正確なリアルタイムデータ」を提供し、サービス向上を支援しています。キャリアIQのデータは、通信事業者や端末メーカーが顧客に販売する端末に搭載された診断ソフトウェアから取得されます。キャリアIQによると、同社の診断ソフトウェアは、ネットワーク品質の向上、端末の問題の把握、そして最終的にはユーザーエクスペリエンスの向上に役立つ「実用的なインテリジェンス」を提供するとのことです。
Carrier IQ ソフトウェアは、世界中で 1 億 4,000 万台以上の携帯電話に組み込まれています。
キャリアIQの対応
Carrier IQ社は、同社のソフトウェアはキー入力を記録しておらず、SMSやメールの内容を検査・報告することもないと述べている。また、追跡ツールを提供しておらず、収集したデータを第三者に販売することもないとしている。
その代わりに同社は、自社のソフトウェアが通話の切断やネットワークサービスの低下といった端末のパフォーマンス問題を特定すると主張している。
Carrier IQは、「あらゆる顧客へのリアルタイムデータレポートの提供」についても否定している。同社のウェブサイトには「Carrier IQのモバイルサービスインテリジェンスソリューションは、顧客の携帯電話というソースから直接、正確でリアルタイムなデータを自動的に提供することで、推測作業を排除します」と記載されているため、これは紛らわしい。
Carrier IQは他に何かしましたか?
11月16日、キャリアIQはエッカート氏に対し、業務停止命令書を送付した。この命令書は、エッカート氏に対し、自身の調査結果をウェブから削除し、エッカート氏の以前の主張を反駁する同社作成の声明文に置き換えるよう要求した。
エッカート氏は11月21日に電子フロンティア財団から法的支援を受けた。キャリアIQは2日後に要求を撤回し、エッカート氏に謝罪した。
次は何?
エッカート氏の報告書を受けて、実際に何が起こるのか、あるいは何か起こるのかは不明だ。キャリアIQは、電子フロンティア財団(EFF)と自社のソフトウェアについて協議する予定だと述べている。明らかに答えなければならない重要な疑問がいくつかあるため、この協議によって何らかの答えが得られるかもしれない。中でも特に重要なのは、「キャリアIQのソフトウェアがキー入力を記録していないのであれば、そもそもなぜキー入力を識別しているように見えるのか?」という疑問だ。
最新の技術ニュースと分析については、Twitter でIan Paul ( @ianpaul ) およびToday@PCWorldをフォローしてください。
