2010 年はプライバシー問題が大惨事に見舞われた年として記録に残るかもしれない。
Apple、AT&T、Facebook、Googleといった企業は、ユーザーの個人情報を、意図せずしてであれ意図せずであれ、大規模に共有したとして、非難を浴びました。警察官は携帯電話で人々の行動を追跡していたことが発覚し、ウェブ広告主は削除困難なクッキーを使ってユーザーの仮想空間での動きを追跡していました。学校は生徒を、モバイルアプリはユーザーをスパイし、連邦政府はセキュリティ検索で個人的な情報にまで踏み込んだことで非難を浴びました。
しかし、2010年のプライバシーに関する最大のニュースは必ずしも最大の脅威ではありませんでした。一方で、あまり知られていない事件の中には、はるかに深刻な影響を及ぼしたものもあります。これらのプライバシー問題はあなたにとってどれほど危険なのでしょうか?この概要では、国土安全保障省の脅威レベルシステムを用いて脅威を評価し、自分自身を守るための方法を提案します。
気をつけてね。
1. GoogleのWi-Fiスパイ
脅威レベル: 緑
GoogleのWi-Fiスパイ騒動は、最初から悪意があったわけではありません。ストリートビュー撮影車を使ってオープンWi-Fiネットワークをマッピングすることで、Googleはモバイルユーザーに正確な位置情報を提供できます。スマートフォンでGoogleマップを利用すれば、GPSを必要とせず、近くの無線ネットワークを利用してユーザーの現在地を特定できる可能性があります。
問題は、Wi-Fiネットワークの名前と位置情報に加え、Googleのストリートビュー撮影車がユーザーのパスワードやメールメッセージなど、暗号化されていないデータを誤って収集していたことだった。3年間でGoogleは30カ国以上で600GBもの余分なデータを収集し、国際的な制裁、民事訴訟、そしてFCC(連邦通信委員会)による調査に至った。
それでも、一般消費者への影響は最小限だと、電子フロンティア財団のシニアスタッフテクノロジスト、ピーター・エッカーズリー氏は言う。詮索好きな隣人や家の外に駐車している不審者に監視される危険性は高まる。
解決策:ワイヤレス ネットワークをパスワードで保護し (当然のことですが)、可能な場合は暗号化された HTTPS 接続を使用して Web を閲覧します (以下の項目 3 を参照)。
2. iPadのメール流出
脅威レベル: 緑
Apple 3G iPad の初期モデルを購入した場合、無名のセキュリティ グループがあなたの電子メール アドレスを盗んだ可能性があります。
昨年6月、Goatse SecurityはAT&Tのウェブサイトの脆弱性を悪用しました。この脆弱性は、iPad所有者のID番号を含むHTTPリクエストを検出すると、そのユーザーのメールアドレスを表示するというものでした。GoatseはAT&T.comにランダムな20桁の数字を含むURLを大量に送信し、iPad所有者のメールアドレス11万4000件を収集しました。そして、その一部はGawkerと共有されました。
良いニュースは?Goatseのハッキングではパスワードは漏洩しなかったため、グループはあなたの名前以外の情報にアクセスできなかったということです。そして、あなたは選ばれた仲間入りを果たしました。ABCのダイアン・ソーヤー、ニューヨーク市長のマイケル・ブルームバーグ、そして政府高官や軍高官も住所を盗まれたのです。
解決策:何も必要ありません。AT&Tはすぐにこの穴を塞ぎました。スパマーがあなたのメールアドレスを欲しがっている場合、もっと簡単な方法で入手できます。iPadは魔法のように人生を変えるほどの力を持っているのでしょうか?
3. FacebookのWi-Fiジャッキング
脅威レベル: 黄色
Wi-FiカフェからFacebookのステータスを更新していますか? 見知らぬ人があなたのアカウントにログインして、あなたになりすます可能性があります。原因はFirefoxの無料プラグイン「Firesheep」です。このプラグインは、暗号化されていないログインCookieをキャプチャします。プログラマーのエリック・バトラー氏は、人々がどれだけのデータを「平文のまま」送信しているかを実証するためにこのプログラムを開発しました。Firesheepを使えば、乗っ取り犯はFacebook、Twitter、その他24以上のサイトであなたのアカウントにアクセスできます。プライベートだと思っていた情報が、今ではプライベートではなくなりました。もうすっかり丸裸になった気分ですか?
FacebookやTwitterなどのサイトが安全なログインを義務付けていないことは「甚大なプライバシー問題」だとEFFのエッカーズリー氏は指摘する。「GoogleはGmailで、最小限のコストで大規模なセキュリティ対策を実現できることを実証しました。今こそ、他のサイトにも同様の取り組みを促さなければなりません。」
解決策: EFFとTorプロジェクトのFirefox用HTTPS Everywhereプラグインを使用して、利用可能な場合はサイトにSSL暗号化を強制的に使用させます。また、機密情報を含むサイトにはパブリックネットワークからログインしないでください。
4. 「裸の」セキュリティスキャン
脅威レベル: 青
Firesheepで裸になった気分にならないとしても、空港のセキュリティチェックではそう感じるかもしれません。アメリカの主要空港や連邦政府の建物では、衣服の上からでもスキャンできるボディスキャナーが導入されており、警備員の目には、事実上裸のように見えるのです。
さらに事態は悪化する。昨年8月、フロリダ州オーランドの連邦保安官局は、破棄予定だった約3万5000枚のボディスキャン画像を保管していたことを認めた。当然のことながら、その一部はインターネット上に流出した。
電子プライバシー情報センター(EPIC)は、空港によるこれらの機器の導入を阻止するため、国土安全保障省を相手取って訴訟を起こした。一般市民からアライド・パイロット協会や米国旅行協会の会員まで、あらゆる人々が抗議の波に巻き込まれた。
解決策:スキャンの代わりに、「そこに触ったら、まず夕食と映画をおごってあげな」という全身検査を受けるという選択肢もあります。しかし、侵害されたという気持ちは薄れないでしょう。
5. モバイルマルウェア
脅威レベル: 黄色
ポケットの中のスマートフォンはマルウェア作成者にとって魅力的なものであるが、モバイルセキュリティはほとんどの人にとってほとんど関心の対象ではないと、セキュリティベンダーのモバイル・アクティブ・ディフェンス会長ウィン・シュワルタウ氏は言う。
カスペルスキー研究所は昨年8月、Androidスマートフォンを標的とする最初のマルウェアを特定しました。また、ジェイルブレイクされたiPhoneやiPadを狙う不正コードは1年以上前から出回っています。シュワルタウ氏は、AndroidとiPhoneのアプリの20%が感染している可能性があるという推定に同意しています。
「モバイルアプリは、これまでに発明された中で最も優れた敵対的コード配信システムです」とシュワルタウ氏は言う。「モバイル業界全体が混乱状態にあります。」
解決策:新しいアプリをインストールする前に、潜在的な危険信号を探し出すために少し調査をしましょう。馴染みのないベンダーやサイトのアプリは避けましょう。「ボブのApp StoreからGotcha 1.0をインストールするのはどうでしょうか?」とシュワルタウ氏は言います。「私はそうは思いません。」
6. FacebookのIDプレゼント
脅威レベル: オレンジ
Facebookは5億人の会員データをいい加減に扱っていると、しばしば当然ながら非難されている。しかし、2010年にFacebookが犯した最悪のプライバシー侵害は、Facebookとその主要アプリがユーザーの個人情報を広告主やデータブローカーに漏洩したことだろう。
ユーザーがFacebook上の広告をクリックすると、広告主に送信されるウェブリンクには、ユーザーの公開プロフィールにまで遡ることができる固有のIDが含まれていました。これにより、広告主はユーザーの宗教、政治、性的嗜好などに関する詳細な情報にアクセスできるようになりました。また、アプリ開発者がユーザーIDをブローカーに販売するだけのケースもありました。
EFFのピーター・エッカーズリー氏は、データブローカーにとってFacebook IDを使って個人を特定できる情報を抽出するのは容易だと述べている。「彼らの仕事は人々を追跡することだ」と彼は言う。「もし彼らがデータの金鉱を所有しているなら、金を掘り出すだろう」
解決策: Facebook のプライバシー コントロールを使用して公開プロフィールを控えめにし、可能な場合はデータ ブローカー データベースからオプトアウトします。
7. 携帯電話の追跡
脅威レベル: オレンジ
Facebook Places、Foursquare、Gowallaなどの位置情報サービスを使えば、自分が何をどこでしているのかを世界に知らせることができますが、これはあくまで任意です。ポケットの中にあるホーミングビーコンのおかげで、他人が密かにあなたを追跡しているかもしれません。
9月、フィラデルフィアの連邦控訴裁判所は、法執行機関は位置データを取得する前に捜索令状を取得する必要はないものの、裁判官は依然として令状を請求できるとの判決を下しました。(一方、昨年8月、コロンビア特別区連邦控訴裁判所は、連邦政府がGPS追跡装置を車両に設置するには令状が必要であるとの判決を下しました。)最高裁判所が判決を下すか、議会が位置情報のプライバシーを優先する法律を制定するまでは、ルールはユーザーの所在地に応じて異なることになります(当然のことですが)。一方、民間企業はユーザーの位置情報を自由に利用できます。
解決策:自由に移動したいときは、携帯電話の無線アンテナをすべてオフにします。
8. ウェブカメラウォッチャー
脅威レベル: 緑
ペンシルベニア州南東部の高校が、学校支給のノートパソコンを使って生徒を密かに監視していたことで、国際的な悪名を馳せました。ハリトン高校の関係者は、盗難防止機能として学区内の2,400台のMacBookに搭載されたウェブカメラを遠隔操作し、3年間で生徒の画像を5万枚以上撮影していたことを認めました。
大きな騒動が勃発しました。遺族は学区を提訴し、検察は捜査を行い、米国上院は公聴会を開きました。他の学校でもウェブカメラを使った遠隔監視が行われていたという話が明るみに出ましたが、捜査では犯罪行為は見つからず、学区は遠隔監視の停止に同意し、61万ドルで和解しました。
あなたにもこんなことが起こるかもしれませんか?可能性はあります。システムを制御できるマルウェアは、ウェブカメラを遠隔操作するために利用される可能性があります。しかし、ウェブカメラを使ったスパイ行為で起訴された例はほんの一握りです。
解決策:高校生たちは、カメラを無効にしたり、使用していないときにレンズにテープを貼ったりしてカメラを阻止しました。あなたにもできます。
9. ゾンビクッキー
脅威レベル: オレンジ
オンライン広告会社にウェブ上で監視されたくないですか?ブラウザのトラッキングCookieを削除すれば、あとは自由に動き回れる。そうでしょう?いや、違います。ウェブ広告主は、Adobe Flash Cookieを使ってユーザーを追跡する方法を見つけています。Adobe Flash Cookieは削除しても自動的に復活するため、「ゾンビCookie」と呼ばれています。
昨年の夏、プライバシー弁護士のジョセフ・マリー氏はABC、ディズニー、MTV、NBC、およびそれらの広告パートナーに対し、Flashクッキーを通じて連邦プライバシー法およびコンピュータセキュリティ法に違反したとして集団訴訟を起こした。
解決策: Adobeの設定マネージャー(時々不安定)、FirefoxプラグインのBetterPrivacy、またはCCleanerを使って、ゾンビを一掃しましょう。問題は?Pandora RadioやYouTubeなどのサイトは、メディア再生の質を向上させるために最大100KBのデータを保存できるFlash Cookieに依存しており、Cookieがないと動作しない可能性があります。ですから、ゾンビの犠牲者を選ぶ際は慎重に選びましょう。
10. 犯罪的な愚かさ
脅威レベル: 赤
長年、オンラインプライバシーポリシーが私たちの権利を守ってくれると言われてきました。しかし今や、そうしたポリシーの多くは、印刷されていない紙ほどの価値もないようです。
Googleは、ドイツ政府から再調査を命じられるまで、Wi-Fiネットワークからデータを吸い上げていることをきっぱりと否定していた。Facebookは、ウォール・ストリート・ジャーナルが指摘するまで、ユーザーIDを広告主と共有していることに全く気づいていなかったと主張していた。ボディスキャンデータは保存されるべきではなかったし、ウェブカメラはティーンエイジャーの寝室を撮影すべきではなかった。ウェブ上の大手企業の中には、自らのルールを守れず、そのことにすら気づいていなかった企業もあった。
しかし、モバイル・アクティブ・ディフェンスのウィン・シュワルタウ氏は、スパムをクリックして自分のデータを保護できなかったこと、共有しすぎて配慮が足りなかったことなど、消費者にも同様に責任があると述べている。
「最大の問題は、犯罪者の愚かさです」と彼は言う。「人々が基本的なセキュリティ対策、つまり接続のセキュリティを確保し、適切なパスワードを選ぶことに注意すれば、はるかに良い状況になるでしょう。」
解決策:あなたはこの記事を読んでいます。それが第一歩です。
PCWorld寄稿編集者のダン・タイナンの個人的な脅威レベルは、気分によってロビンズエッグブルーからバーントアンバーまで変化します。彼の皮肉な一面はeSarcasm(Geek Humor Gone Wild)でご覧いただけます。Twitter(@Tynan_on_Tech)もフォローしてください。
