4か月前、政府規制当局とプライバシー擁護団体からの反発の中、Googleはストリートビュー撮影車によるWi-Fiデータの収集を停止した。しかし、これはGoogleが無線データの収集を完全に停止したことを意味するものではなく、Appleなどの他の企業も同様である。
Googleは、無線ネットワークを嗅ぎ分けるために車両を派遣する代わりに、クラウドソーシングを活用しています。Androidスマートフォンや位置情報認識モバイルアプリのユーザーに偵察作業を任せているのです。ここ数ヶ月、Appleは同様のデータベースの構築をひっそりと開始し、大規模なユーザーベースを活用して基本的なWi-Fiデータを記録し始めました。他にも、ボストンに拠点を置くSkyhook Wirelessや、フロリダ州マイアミビーチの競合企業Navizonは、長年にわたり無線アクセスポイントのログを記録しています。
これは、FourSquareやFacebook Placesといったアプリケーションへの強い関心によって促進されたトレンドです。スマートフォン上で動作するプログラムがユーザーの正確な位置情報を把握すること(業界用語で言えば位置情報認識)がますます重要になるにつれ、ユーザーの正確な位置情報を把握する方法が不可欠になっています。しかし、こうしたデータを収集している企業はあまり精査されておらず、多くのユーザーはデータがどのように、またなぜ収集されているのか理解していません。そして、セキュリティ専門家たちは、この情報が悪用される可能性のあるいくつかの方法を発見し始めたばかりです。
位置情報認識プログラムがこれを実現する方法は3つあります。GPS(全地球測位システム)の位置情報を取得する方法、使用している携帯電話基地局を特定して大まかな現在地を推測する方法、そして近隣のWi-Fiネットワークを確認する方法です。携帯電話基地局のデータは曖昧で、地方では基地局間の距離が数マイルも離れている場合があります。GPSは非常に正確ですが、GPSデバイスが機能するには衛星との見通しが良好でなければならないため、屋内や人口密集地の都市部ではうまく機能しません。都市部では、Wi-Fiによる位置情報取得に勝るものはありません。
問題は、多くの消費者が無線データの広範な収集に不安を感じていることです。Googleは、自社の車が、Google自身も含め、ほとんどの人が認識していたよりもはるかに多くのデータを記録していたことを認めざるを得なくなった後、ストリートビューWi-Fiデータ収集を中止しました。そして今、Googleは欧州の規制当局、州司法長官、そして多数の訴訟弁護士から、安全対策が不十分な無線ネットワーク上で閲覧可能な「ペイロード」データをGoogleが記録していたとして集団訴訟を起こされています。この情報には、電子メールメッセージ、パスワード、あるいは無線ネットワーク上で暗号化されずに送信されるあらゆる情報が含まれる可能性があります。
こうした機密性の高さにより、誰が無線データを収集し、どのようなログを記録しているのかを正確に把握することが困難になっています。例えば、マイクロソフトは本件についてコメントを控えています。マイクロソフトは今年初め、Navizonとの提携を発表しました。Navizonは、Navizonソフトウェアのユーザーが収集したWi-Fiネットワーク、携帯電話基地局、GPSデータのデータベースを管理しています。Appleは度重なる問い合わせにもかかわらず、計画に関する情報を一切提供しませんでした。また、Research in Motionは「RIMは携帯電話基地局の位置情報を活用し、GPSを補完する独自の位置情報技術を使用しています」という短い電子メールによる声明のみを発表しました。
無線データ収集に関する質問に答えてくれた3社(Google、Skyhook、Navizon)は、今年初めにGoogleを問題視したペイロードデータは一切収集していないと述べた。無線データ収集の専門家は、この種のスニフィングを行うモバイルデバイスの開発は極めて困難だと指摘する。携帯電話がすべてのオープンWi-Fiトラフィックを常にスニフィングし、それをGoogleに送信するには、あまりにも多くの電力が必要になるからだ。
しかし、Apple、Google、Navizon、Skyhookが、無線ルーターの識別に使用できるMAC(メディアアクセス制御)アドレスを収集していることは明らかです。また、ネットワークの信号強度に関するデータも収集し、Wi-Fiデータを携帯電話基地局やGPS情報などの他の情報と関連付けることで、ユーザーの所在地を非常に正確に把握しています。
Wi-Fiデータ収集をクラウドソーシングする企業は、ユーザーの同意を得るよう細心の注意を払っていますが、批判的な意見としては、ユーザーが位置情報認識アプリケーションの実行に同意することで、近隣住民が使用している無線ルーターの位置情報の特定に協力していることに気づいていない可能性があると指摘されています。プライバシー擁護団体や議員たちは、この位置情報データが悪用され、モバイルデバイスのユーザーに危害が及ぶ可能性に注目してきました。しかし、このデータ収集が無線ルーターの所有者にどのような影響を与えるかについては、あまり注目されていません。彼らは、基本的な無線データを同意なしに記録されているからです。
アートワーク: チップ・テイラー
データ収集業者は、データベースは個人を特定できる情報を削除しているため安全だと主張している。しかし、ハッカーのサミー・カムカー氏が今年初めに発見したように、これらのデータベースは悪用される可能性がある。2005年にMySpaceを一時的に停止させたワームの作成で知られるカムカー氏は、Googleの位置情報データベースを利用して人々の住所を秘密裏に割り出す方法を発見した。
カムカー氏は全員の住所を特定することはできませんでしたが、先月のセキュリティカンファレンスでの講演で、特定の種類の家庭用Wi-Fiルーターに潜む基本的なプログラミングエラーを利用してMACアドレスを開示する方法を示しました。その情報を基に、公開されているGoogleの位置情報データベースを使って人々の居住地を特定する方法も示しました。アクセス制御がデフォルト設定のままになっているバグのあるルーターから彼のウェブサイトにアクセスした人が、その所在地を特定できるのです。
Google は、Chrome や Firefox などのブラウザがウェブサイトに位置情報を送信できるようにデータベースを公開しているようだが、Kamkar のデモでは、少なくとも一部のケースではこのデータがどのように悪用される可能性があるかが示されている。
「Macアドレスを個人情報だと考える人は誰もいません」と彼は言った。「いつでもGoogleに問い合わせて、誰がどこにいるかがわかるという事実…それがプライバシーの問題だと思います。」
Googleは、Androidスマートフォンのユーザーが、アプリケーションがこの種の位置情報を利用しようとしていることを確実に把握できるよう細心の注意を払ってきた。しかし、MACアドレスが記録されているユーザーはそうはいかない。Wi-Fiユーザーは、自分のMACアドレスがGoogleのデータベースにいつ追加されるかを知る術がなく、オプトアウトする方法も明確ではない。
Googleは電子メールで送付した声明の中で、「MACアドレスはメーカーが割り当てる単純なハードウェアIDであることにご留意ください。当社は世帯主に関する情報は一切収集しておらず、MACアドレスデータから個人を特定することもできません。このデータは公開されており、Wi-Fi対応デバイスを持ってその場所の近くを歩けば誰でも入手できる情報と同一です。GoogleはデータベースからMACアドレスを一切公開していません」と述べています。
しかし、ユーザーの MAC アドレスを抜き出し、その情報を悪用する方法が他にもあると思われるという事実は、いくらか懸念すべき点です。
「ストーカーを避けるために引っ越しをし、アクセスポイントを持っていくと、グーグルを通じて自分の新しい居場所が漏れてしまうかもしれないということにほとんどの人は気づいていないと思う」と、セキュリティコンサルタント会社ルート・ラボの創業者ネイト・ローソン氏は電子メールのインタビューで語った。
ローソン氏によると、他にも問題となる可能性のあるシナリオがいくつかあるという。例えば、ノートパソコンが携帯電話に接続され、無線ネットワークとして機能する場合、携帯電話のMACアドレスと位置情報がデータベースに追加され、同意なしに人物を追跡するために使用される可能性があるという。
「私たちがやっているのは、外にある波を集めることだけです」
Skyhook Wirelessは、かつてGoogleのストリートビュー撮影車が行っていたように、全米各地を走行し無線データを記録する400台以上の車両を運用しています。しかし、Skyhookの創業者兼シニアバイスプレジデントのマイク・シーアン氏によると、ストリートビューとは異なり、SkyhookはMACアドレス、位置情報、GPS、携帯電話基地局のデータ以外のデータは一切記録していません。Skyhookは、この技術を用いることでより高品質なデータが得られると考えているため、デバイスからのデータの記録に加えて、現在も車両を活用しています。
シーアン氏は、無線ネットワークが機能するためには、彼の会社が収集するような種類のデータをブロードキャストする必要があると指摘する。「私たちはあなたのプライバシーを侵害するようなことは何もしていません」と彼は言った。「私たちがやっているのは、オープンスペクトルにある電波を収集しているだけです。」
スカイフックには、無線ルーターをデータベースから削除してほしいというリクエストが年間5件ほど寄せられているとシェアン氏は述べた。スカイフックはこれらのリクエストを尊重する。
位置情報認識プログラムの重要性がますます高まるにつれ、Apple、Skyhook、Googleが収集する無線データの価値はますます高まっていくでしょう。実際、Appleは最近までSkyhookのデータを使用していましたが、2010年4月から独自のデータベースの構築を開始しました。これはおそらく、戦略上の必要性と捉えているためでしょう。
Appleは、無線LANの収集ポリシーに関するコメント要請には応じなかったが、マサチューセッツ州選出の民主党議員エドワード・マーキー氏とテキサス州選出の共和党議員ジョー・バートン氏に宛てた書簡(https://www.pcworld.comAppleの書簡:http://markey.house.gov/docs/applemarkeybarton7-12-10.pdf)を送付した。書簡の中でAppleは、MACアドレスと信号強度情報を保存し、それらをGPS座標と携帯電話基地局の情報にリンクさせていると述べた。「Appleは、Wi-Fiアクセスポイントにユーザーが割り当てた名前(「SSID」またはサービスセット識別子)や、Wi-Fiネットワーク経由で送信されるデータ(「ペイロードデータ」)を収集しません。」
手紙には、データベースは「Appleのみがアクセス可能」であると記されている。
GoogleのWi-Fiスキャンダルに警戒を強めたプライバシー擁護団体は懸念を抱いている。問題の一つは、現状に対する一般の認識があまりにも低いことだと、過去にGoogleを強く批判してきた団体Consumer Watchdogの擁護者、ジョン・シンプソン氏は指摘する。「携帯電話を買ったら、その携帯電話を販売した会社が人々のWi-Fi位置情報をマッピングしてくれると期待するだろうか?」と彼は問いかける。「その質問には、ちょっと驚かされる、というのが私の答えだ」
「この技術の問題の一つは、人々が何が起こっているのか全く知らないことだ」と彼は付け加えた。
確かに、ほとんどの無線LANユーザーは、自分のルーターの位置情報がデータベースに記録されていること、そして少なくともそのうちの1つ、つまりGoogleのデータベースにはインターネット経由で誰でもアクセスできることに気づいていません。データ収集者にとってこれがより大きな問題になるかどうかは、カムカー氏のような人々が、このデータを予想外の方法で利用、あるいは悪用できるかどうかにかかっています。
でも、それは本当に大したことなのでしょうか?ワイヤレスデータの使用を強制する人はいません。ただ、人々が何に取り組んでいるのかを十分に理解せずにワイヤレスネットワークを構築していることが問題なのかもしれません。
無線セキュリティの研究に長年を費やしてきた独立コンサルタントのブラッド・ヘインズ氏は、無線技術が10年近くも主流となっているにもかかわらず、多くのユーザーがその仕組みをいまだに知らないのは驚くべきことだと指摘する。「率直に言って、もしこれが怖いなら、なぜ無線ネットワークを使うのでしょうか?」と彼は問いかける。「これは公開情報です。なぜなら、公開周波数帯で情報を発信しているからです。」
SimpleGeoのCEO、マット・ギャリガン氏も、無線通信に関する懸念の多くは誇張されていると認めている。しかし、位置情報認識アプリケーションの開発ツールを販売するギャリガン氏は、こうした技術を開発する人々はユーザーを教育する必要があると指摘する。「もし誰かが本当にあなたの情報を知りたいなら、一斉メール配信業者に連絡してあなたの興味関心を調べればいいのです」と彼は言う。「個人的には、それほど大きな懸念事項ではないと考えています。」
ロバート・マクミランは、IDGニュースサービスでコンピュータセキュリティとテクノロジー全般の最新ニュースを担当しています。Twitterで@bobmcmillanをフォローしてください。メールアドレスは[email protected]です。
