ワイヤード
あなたの生活の全ては、あなたが持ち歩く携帯電話の中に詰まっています。そして、それは常にあなたのそばにあります。通勤中、休暇中、あるいは家で何もしていない時でさえも。結局のところ、私たちの携帯電話は、たとえあなたが気づいていなくても、追跡装置として機能しているのです。
写真編集からショッピングまで、あらゆる用途でスマートフォンにインストールしたアプリは、あなたの移動データを利用することがあります。位置情報追跡機能により、あなたがどこに行き、誰と一緒なのかに関する強力な情報を収集することが可能です。
しかし、この状況は変わりつつあります。GoogleとAppleは、モバイルOSの最新バージョンを通じて、どれだけのデータ通信量をユーザーに確実に知らせるための第一歩を踏み出そうとしています。Android QとiOS 13の次期バージョンはパブリックベータ版で、正式版は今年後半にリリースされる予定ですが、バックグラウンドで位置情報を記録しているアプリを警告する機能が追加される予定です。
どちらのモバイルOSでも、インストールするアプリはすべて、要求する権限についてユーザーに確認を求めます。連絡先、写真、位置情報へのアクセスが必要な場合は、確認を求められます。しかし、多くの場合、デフォルトで「承認」ボタンがすぐに押されてしまいます。
現在、これらのOSは、スマートフォン(そしてデフォルトではあなたの)位置情報を収集しているアプリを通知するプッシュ通知を導入しています。両社とも同様のアプローチを採用しています。Android Qでは、「Airbnbはバックグラウンドであなたの位置情報を取得しました。このアプリはいつでもあなたの位置情報にアクセスできます。変更するにはタップしてください」という通知が表示されます。一方、Apple版はさらに進んで、最近訪れた場所の地図を表示し、設定を変更するオプションも提供しています。
Malwarebytesのシニアマルウェアインテリジェンスアナリスト、ネイサン・コリアー氏によると、開発者はスマートフォン上のデータにアクセスするために2つの異なる機能を利用しているという。ACCESS_FINE_LOCATIONを有効にすると正確な位置情報を記録でき、ACCESS_COARSE_LOCATIONを有効にすると大まかな位置情報が提供される。アプリが開いているときやバックグラウンドで動作しているときに実行するには、これらの権限を付与する必要がある。
しかし、新たな通知は警鐘となる。多くのスマートフォン所有者にとって、これらの通知は認識不足を露呈することになるだろう。「多くの消費者は、一度アプリに位置情報へのアクセスを許可すると、一部のアプリが消費者の知らないうちにバックグラウンドで位置情報を追跡し続ける可能性があることを理解していません」と、セキュリティ企業Proofpointの国際サイバーセキュリティストラテジスト、アデニケ・コスグローブ氏は説明する。
コスグローブ氏とコリアー氏は共に、AppleとGoogleが導入している変更は、人々が自分のスマートフォンが収集しているデータについて理解を深めるための一歩であると認めている。しかし、アプリの権限変更はそれほど魅力的なプロセスではないため、多くの人が実行しない。
続きを読む: 2021年にデータを安全に保つための最高のパスワードマネージャー
QとiOS 13の変更により、プッシュ通知でユーザーは設定を素早く調整できるようになりました。それぞれの通知には、バックグラウンドでの位置情報の追跡を常に許可するか、アプリ使用中のみ許可するかのオプションが用意されています。Androidの通知はさらに進んでおり、すべての位置情報の追跡をオフにすることもできます。iOSでは、このオプションを利用するには別途設定を行う必要があります。
もちろん、位置情報を監視するアプリが必ずしも悪いというわけではありません。GoogleマップやAppleマップは、位置情報にアクセスできなければ、青い点でユーザーを表示することはできません。Airbnbは、ユーザーが現在いる都市を知らなければ、近くの空室アパートを表示できません。フィットネスアプリも、位置情報を使わなければ、ランニングやサイクリングの距離を記録できません。
しかし、すべてのアプリにこの機能が必要なわけではありません。Twitterがツイートの送信元を地理タグで特定する必要は本当にあるのでしょうか?The Guardianのニュースアプリは、ユーザーが常にどこにいるかを把握している必要があるのでしょうか(地理バージョン間の切り替えは数回タップするだけで済みます)。
「アプリが利用規約に記載されている特定の目的のためにのみ位置情報データを収集し、その旨をユーザーに通知しているのであれば、問題ありません」とコスグローブ氏は述べている。「しかし、すべてのアプリが明示されている目的のみにデータを使用しているわけではなく、利用規約に記載されていない目的でデータを使用しているアプリは、データ保護規則に違反している可能性があります。」
欧州の一般データ保護規則(GDPR)では、企業は顧客にどのような情報を収集し、その目的を明確に伝えることが義務付けられています。コスグローブ氏は、天気アプリがユーザーに最も正確な天気予報を提供するために位置情報へのアクセスを許可したにもかかわらず、ユーザーの位置情報を第三者の広告会社に販売した場合、データ保護規制当局の注目を集める可能性があると指摘しています。
しかし、バックグラウンドで位置情報にアクセスするアプリには、より不透明な側面があります。これらの設定は「ストーカーウェア」アプリで利用される可能性があり、加害者はパートナーがスマートフォンで何をしているか、どこにいるかを、本人に知られることなく監視することができます。(パートナーがスマートフォンをスパイしている可能性があると思われる場合は、こちらのガイドをご覧ください。)
これまで、セキュリティ企業やアプリストアの運営者は、こうしたスパイアプリへの対応が遅れていました。ストーカーウェアが真剣に受け止められるようになったのは、2019年に入ってからです。4月には、Kaspersky Labがこの種のアプリを悪意のあるアプリとしてフラグ付けし始めた最初の企業となり、その後、他の企業も追随しています。また、7月には、Googleがスパイ活動に使用されていると特定された7つのアプリをPlayストアから削除しました。
iOS 13とAndroid Qの新しいバックグラウンド通知機能は、ストーカーウェアが自分のスマートフォンに追加されたことをユーザーが認識するのに役立つ可能性があります。「この新しい権限により、通知にリマインダーが追加され、位置情報が使用されていることをユーザーに知らせることができるため、これは役立つ可能性があります」とコリアー氏は述べています。「『ストーカーウェア』の場合、アプリはモバイルデバイスに物理的にアクセスできる人物によってインストールされることに注意してください。そのため、最初はバックグラウンド権限を許可する可能性があり、通知がモバイルデバイスに表示されるまで数日かかる場合があります。」
この記事はWIRED UKで最初に公開されました。
