2018年05月17日 13時00分セキュリティ

法の抜け穴を使って警察が携帯電話キャリアから「ユーザーのリアルタイム位置情報」を入手していたと判明

by Bernard Goldbach

携帯電話の位置情報サービスは地図アプリやカーナビアプリなどに利用されており、非常に便利なサービスとなっています。そんな「ユーザーのリアルタイム位置情報」が、アメリカの主要な携帯電話キャリアから間接的に警察が入手していたと報じられています。

US cell carriers are selling access to your real-time phone location data | ZDNet
https://www.zdnet.com/article/us-cell-carriers-selling-access-to-real-time-location-data/

カリフォルニアに本社を置くLocationSmartというテクノロジー企業は、AT&T・ベライゾン・コミュニケーションズ・T-Mobile US・スプリントといったアメリカの主要な携帯電話キャリアから入手したデータを使用し、ユーザーのリアルタイム位置情報を把握するサービスを展開しています。LocationSmartはユーザーのリアルタイム位置情報を把握するため、携帯電話のバッテリーを消耗させるGPSを使用するのではなく、携帯電話の基地局を利用した三点測量で位置を割り出しているとのこと。LocationSmartと契約している携帯電話キャリアは、全米の携帯電話の約95％を占めているそうで、アメリカに存在するモバイル端末を事実上ほぼすべて発見可能だとしています。

LocationSmartが入手した位置情報は、他の法人顧客が料金を支払うことでデータを購入またはデータにアクセスすることが可能であり、ユーザーの位置情報に反応して作動するアプリを使用する企業や、カード情報を使った詐欺に対処したい銀行などがデータを入手していました。多くの企業にとってユーザーの位置情報データが有用だと考えられますが、LocationSmartは顧客がデータを不正に利用することを防ぐ方法について言及していません。

そんな中、アメリカの刑務所で受刑者に電話サービスを提供するSecurus Technologiesは、LocationSmartから位置情報を購入していたと報じられています。Securus Technologiesは「任意の携帯電話の位置情報を、わずか数秒で追跡可能だった」とのことで、Securus Technologiesが入手したユーザーの位置情報データは警察の捜査に利用されていたとも報じられています。

by Hamza Butt

企業がLocationSmartから入手した位置情報を使用するアプリを提供する時には、基本的にはポップアップなどでユーザーの同意を得る必要があります。しかし、LocationSmartは「サービスの性質上、ユーザーの位置情報が使用されることが明らかである」場合には、ユーザーから暗黙の了解を取り付けているとして同意を得ない場合もあると述べました。

また、ユーザーに直接働きかけるアプリに位置情報を使用するのではなく、単にユーザーの位置情報データそのものを検索する時には、いちいちユーザーの同意を得る必要がありません。そのため、Securus Technologiesはユーザーに知られることなく、リアルタイムでユーザーの位置情報を検索可能な状態にあったとのこと。

アメリカの電子通信プライバシー法においては、通信会社が政府に直接ユーザーのデータを開示することを制限していますが、通信会社が他の企業にデータを開示することを制限するものではないそうです。そのため、通信会社から間接的にデータを入手したSecurus Technologiesのような企業が、警察のような政府組織にデータを開示することは法に触れるものではないとしています。加えてSecurus Technologiesはアメリカの刑務所運営に携わる企業であるという性質上、政府とのつながりが深い企業だとされています。

なお、ウェブメディアのZDNetのライターが実際にLocationSmartの「事前お試しサービス」を利用して位置情報データの正確性をチェックしてみたところ、ほぼ正しい位置情報が表示されたそうです。