米兵やスパイをドイツの核施設や売春宿まで追跡するデータは誰でも買える

平日のほぼ毎朝、ドイツのヴィースバーデン近郊にある2階建ての住宅から、ある装置が出発し、主要アウトバーンを15分かけて移動する。午前7時頃、この装置はルシウス・D・クレイ・カゼルネに到着する。ここは米陸軍の欧州司令部であり、米国の諜報活動の重要拠点となっている。

この装置はレストランの近くで停止し、その後、国の最も機密性の高い施設の装備と警備を担当する大手政府請負業者の基地近くのオフィスに向かいます。

2023年の約2ヶ月間、この装置は予測可能な行動パターンを辿っていた。請負業者のオフィスに立ち寄り、基地内の目立たない格納庫を訪れ、昼食時には基地内の食堂へ向かった。昨年11月には、かつて諜報機関とNSAの信号処理施設だったダガー・コンプレックスまで30分かけて2回も移動した。週末には、ヴィースバーデンのレストランや商店まで追跡できた。

この装置を所持している人物は、スパイや高官級の情報機関職員ではない可能性が高い。専門家は、空調設備やコンピューティングインフラといった重要システムに関わる請負業者、あるいは国家安全保障局（NSA）が使用しているとみられる最新鋭施設、新設の統合情報センターの警備業務に従事している可能性があると見ている。

彼らが誰であろうと、彼らがどこにでも持ち歩いている装置は米国の国家安全保障を危険にさらしている。

WIRED、バイエルン放送（BR）、Netzpolitik.orgによる共同調査で、デジタル広告データを合法的に収集している米国企業が、海外にいる米軍人や諜報員の動きを、自宅や子どもの学校から、米国の核兵器が保管されているとみられる空軍基地内の強化された航空機シェルターまで、安価で信頼性の高い方法で追跡していることが明らかになった。

米国に拠点を置くデータブローカーから得られた数十億件の位置座標を共同で分析した結果、米軍兵士の日常生活に関する驚くべき洞察が得られました。また、この結果は、モバイル位置情報の無規制な販売が米軍の健全性、そして海外に駐留する軍人およびその家族の安全に重大なリスクをもたらすことを如実に示しています。

ドイツにある米軍の機密施設内の機器から数十万もの信号を追跡しました。これには、NSAの監視施設または信号分析施設と疑われる施設内の数十の機器、2023年にウクライナ軍が訓練を行っていた広大な米軍施設内の1000台以上の機器、そして米軍のドローン作戦を決定的に支援してきた空軍基地内の約2000台が含まれます。

エドワード・スノーデン氏がリークしたNSA文書によると、NSAまたは諜報機関の職員が関与していると思われる装置が、「ティン・キャン」と呼ばれる金属製の外装を持つ窓のない建物の内部から座標を送信していた。この建物はNSAの監視に使用されているとされている。別の装置は、立ち入り禁止の兵器試験施設内から信号を送信しており、戦車演習や実弾演習に使用される厳重警備区域をジグザグに移動する様子が明らかになった。

これらのデバイスは、兵舎から作業棟、イタリアンレストラン、アルディの食料品店、バーまで追跡されました。ラムシュタイン空軍基地から定期的に信号を送っていたデバイスは最大4台あり、後に基地外の売春宿まで追跡されました。その中には「セックスワールド」と呼ばれる高層ビルも含まれていました。

専門家は、外国政府がこのデータを利用して機密地域にアクセスできる個人を特定したり、テロリストや犯罪者が米国の核兵器が最も警戒されていない時期を解読したり、スパイやその他の悪意ある者が恥ずかしい情報を利用して脅迫したりする可能性があると警告している。

「規制されていないデータブローカー業界は、国家安全保障にとって明らかな脅威です」と、20年以上にわたり諜報活動を監督してきたオレゴン州選出のロン・ワイデン上院議員は述べています。「アメリカのデータブローカーが、世界中で危険にさらされる何千人もの勇敢な軍隊員から収集した位置情報を販売しているなど、言語道断です。」

ワイデン氏は、BRとnetzpolitik.orgによる最初の報道で、将来の米軍兵士の追跡に関する懸念が提起された後、9月に米国国防総省に連絡を取った。国防総省は回答しなかった。同様に、ワイデン氏の事務所は、ジョー・バイデン大統領率いる国家安全保障会議（NSC）のメンバーから度重なる問い合わせにもかかわらず、未だに回答を得ていない。NSCもコメント要請に直ちには応じなかった。

「責めるべき人はたくさんいる」とワイデン氏は言う。「しかし、新政権と議会が行動を起こさなければ、こうした虐待は今後も起こり続け、軍人の命が失われることになるだろう。」

オレゴン州選出の上院議員は今年初め、連邦取引委員会（FTC）に対し、この問題を提起した。FTCは、ある米国企業が「機密性の高い場所」周辺でデータを収集していると非難し、前例のない制限を課した。FTCの広報担当ディレクター、ダグラス・ファラー氏はコメント要請を拒否した。

しかし、WIREDは今回初めて、FTCがワイデン氏の要請に応じる寸前にあることを報じることができる。FTC内部事情を匿名で語った関係者によると、FTCは近々、米軍施設を保護区域として正式に認定するための複数の訴訟を起こす予定だという。関係者はさらに、これらの訴訟は、FTCのリナ・カーン委員長が長年にわたり、軍人を含む米国消費者を有害な監視行為から守ることを目指してきた取り組みの一環であると付け加えた。

アプリやウェブサイトにターゲティング広告が表示される前に、アプリに埋め込まれていることが多いソフトウェア開発キットと呼ばれるサードパーティ製ソフトウェアが、ユーザーに関する情報（多くの場合、位置情報データも含む）をデータブローカー、リアルタイム入札プラットフォーム、アドエクスチェンジに送信します。データブローカーは、これらのデータを収集、分析、再パッケージ化して販売することがよくあります。

2024年2月、BRとNetzpolitik.orgの記者は、フロリダに拠点を置くデータブローカーであるDatastream Groupから、この種のデータの無料サンプルを入手した。このデータセットには、ドイツ国内の最大1100万のモバイル広告IDから、同社によれば2023年10月から12月までの59日間に記録された36億の座標（一部はミリ秒間隔で記録されている）が含まれている。

モバイル広告IDは、広告業界がスマートフォンにパーソナライズ広告を配信するために使用する固有の識別子です。これらの文字と数字の文字列により、企業はユーザーの行動を追跡し、効果的に広告をターゲティングすることができます。しかし、モバイル広告IDは、特に正確な位置情報データと組み合わせると、より機密性の高い情報を明らかにする可能性もあります。

最終的に、私たちの分析により、少なくとも 11 か所の軍事施設や諜報機関の施設内またはその付近で時間を費やしていたと思われる最大 12,313 台のデバイスからの詳細な位置データが明らかになりました。これにより、入口ポイント、セキュリティ対策、警備スケジュールなどの重要な詳細が漏洩する可能性があり、これらの情報が敵対的な外国政府やテロリストの手に渡れば、致命的となる可能性があります。

私たちの調査では、ドイツの厳重警備施設であるビュッヒェル空軍基地内で、最大189台の機器から38,474件の位置情報信号が発信されていることが判明しました。同基地の地下バンカーには、最大15発の米軍核兵器が保管されているとされています。数千人の米軍兵士が駐留し、ウクライナ軍兵士にエイブラムス戦車による訓練を行っているグラーフェンヴェーア訓練場では、最大1,257台の機器から191,415件の位置情報信号が発信されています。

米陸軍の欧州本部ルシウス・D・クレイ・カゼルネがあるヴィースバーデンでは、799台もの機器から74,968件の位置情報信号が検出されました。その一部は、かつてNSAの欧州における通信拠点だった欧州技術センターや、新たに建設された諜報活動センターなどの機密情報施設から発信されたものもありました。

米軍のドローン作戦の一部を支援するラムシュタイン空軍基地では、約2,000台の機器から164,223件の信号が追跡された。これには、軍人児童のための基地内の学校であるラムシュタイン小学校と高校への機器追跡も含まれていた。

これらの装置のうち1,326台は、機密性の高い軍事施設の複数の場所に出現し、ヨーロッパの最も安全な場所での米軍兵士の動きをマッピングしている可能性がある。

データは絶対的なものではありません。モバイル広告IDはリセットされる可能性があり、同じデバイスに複数のIDが割り当てられる場合があります。当社の分析では、一部のデバイスに10を超えるモバイル広告IDが割り当てられていることが判明しました。

位置情報の精度は、個々のデバイスレベルでは一定ではない場合があります。データセットで移動が明らかになった複数の人物に連絡を取り、取材班はデータの大部分が非常に正確であることを確認しました。連絡を受けた人物の通勤や犬の散歩の履歴も特定できました。しかし、常に正確だったわけではありません。データセットにIDが記載されているある記者は、自分のアパートから1ブロック離れた場所にいることが多く、また外出中だったことに気づきました。NATO戦略コミュニケーションセンターオブエクセレンスの調査によると、データブローカー業界では「量が質を凌駕する」傾向があり、調査対象となったデータのうち、正確とみなせるのは平均で最大60%に過ぎないことがわかりました。

Datastream Groupのウェブサイトによると、同社は「ハッシュ化されたメールアドレス、Cookie、モバイル位置情報データを組み合わせたインターネット広告データ」を提供しているようだ。掲載されているデータセットには、ボート所有者、住宅ローン申請者、喫煙者といったニッチなカテゴリーが含まれている。数十億ドル規模の位置情報データ業界を牽引する同社は、ドイツ駐留の米軍および情報機関職員に関するデータ提供についてコメントを求めたが、回答は得られなかった。最新の推計によると、米軍はドイツに少なくとも3万5000人の兵士を駐留させている。

国防総省当局者は、少なくとも2016年当時、政府の請負業者で技術者のマイク・イェーグリー氏が、ノースカロライナ州フォート・リバティ（旧フォート・ブラッグ）にある統合特殊作戦軍の施設で、軍高官に対しこの問題に関する説明を行って以来、商用データブローカーが国家安全保障に及ぼす脅威を認識していた。イェーグリー氏のプレゼンテーションは、シリアなどの紛争地域で既に広く普及している市販のモバイルデータが、生活パターン分析に武器として利用される可能性があることを示すことを目的としていた。

プレゼンテーションの途中で、イェーグリー氏はさらに緊張感を高めた。「さて、これがISIS工作員の行動です」と彼はWIREDに語り、自身のプレゼンテーションを振り返りながら語った。「鏡を向けてみましょう。皆さんの隊員にとって、それがどのように機能するかをお見せしましょう」。そして、ノースカロライナ州のフォートブラッグとフロリダ州のマクディル空軍基地（米軍エリート特殊作戦部隊の重要拠点）から移動してきた携帯電話のデータを示した。携帯電話はトルコなどの中継地点を経て、シリア北部のコバニ近郊、ISISの拠点として知られる廃墟と化したセメント工場に集結した。彼が特定した場所は、秘密の前進基地だった。

イェーグリー氏によると、彼はすぐに安全な部屋へ案内され、密室でプレゼンテーションを続けたという。そこで当局は、彼のパフォーマンスにハッキングや不正な傍受が関与しているのではないかと懸念し、データの入手方法について尋問した。

データはスパイ活動ではなく、規制されていない商業ブローカーから入手したものだと、彼は国防総省の関係者たちに説明した。「私はこのデータをハッキングしたり、傍受したり、改ざんしたりしたわけではありません。私が買ったのです」と彼は言った。

それから何年も経った今も、イェーグリー氏は国防総省が状況を制御できないことに深い不満を抱いている。WIRED、BR、Netzpolitik.orgが現在報じている状況は、「ほぼ10年前に我々が警告した状況と非常に似ている」と彼は首を振りながら言う。「そして、何も変わっていないように見える」

米国法は、国家情報長官に対し、「敵対的な情報収集活動」の標的となりやすいとみなされる「リスクのある」情報機関職員の個人用デバイスに「保護支援」を提供することを義務付けている。しかし、どのような職員がこの基準を満たすのかは不明であり、定期的な訓練と助言以外にどのような保護措置が講じられるのかも不明である。いずれにせよ、私たちが取得した位置情報データは、商業監視があまりにも広範囲かつ複雑であり、個人の責任に還元できないことを如実に示している。

バイデン氏の退任する国家情報長官アヴリル・ヘインズ氏はコメント要請に応じなかった。

ヘインズ氏が昨年夏に機密解除した報告書は、米国の諜報機関が商業データブローカーから米国市民に関する「大量の」「機密性の高い個人情報」を購入していたことを認め、「悪意のある者の手に渡れば」、そのデータが「脅迫、ストーカー行為、嫌がらせ、そして公衆の面前での非難を助長する」可能性があると付け加えている。多数の編集部分を含むこの報告書は、米国政府が「数十億人の人々に常に位置追跡装置を携帯することを強制することは決して許されない」としながらも、スマートフォン、コネクテッドカー、そしてウェブトラッキングによって「政府の関与なしに」それが可能になったと指摘している。

下院軍事委員会の共和党委員長マイク・ロジャーズ氏は、複数回のコメント要請に応じなかった。同委員会筆頭民主党議員アダム・スミス氏の広報担当者は、スミス氏は来年度の国防総省の政策優先事項に資金を提供するための必須法案の交渉に忙しく、この件についてコメントできないと述べた。

上院軍事委員会の民主党筆頭理事であるジャック・リード氏と共和党筆頭理事であるロジャー・ウィッカー氏は、複数回のコメント要請に応じなかった。上下両院の指導部、そして両議会情報委員会の有力議員への問い合わせも、回答は得られていない。

国防総省とNSAは、本調査に関する具体的な質問への回答を拒否した。しかし、国防総省のジャヴァン・ラスナケ報道官は、国防総省は地理位置情報サービスが職員を危険にさらす可能性があることを認識しており、隊員に対し訓練内容を思い出し、作戦上のセキュリティプロトコルを厳守するよう強く求めたと述べた。「USEUCOM地域内では、隊員は作戦地域内で任務活動を行う際に、適切なOPSEC（作戦セキュリティ）を実施する必要性を再確認しています」とラスナケ報道官は述べている。

しかし、報道機関が入手した国防総省の内部資料によると、国内でのデータ収集は軍事機密の漏洩につながる可能性が高いだけでなく、軍人の生活はそれを可能にする技術とあまりにも密接に結びついているため、個人レベルでは基本的に避けられないと主張している。この結論は、米国最高裁判所のジョン・ロバーツ首席判事の見解と酷似している。ロバーツ首席判事は、過去10年間の画期的なプライバシー訴訟において、携帯電話は「日常生活に浸透し、不可欠な一部」であり、携帯電話の所有は「現代社会への参加に不可欠」であると述べた。

情報筋によると、このプレゼンテーションは米陸軍の最高情報責任者を含む高官に配布されたもので、大手アドテク企業の約束にもかかわらず、国防総省職員に関する商業データが広く入手可能な状況を考えると、「匿名化解除」は容易ではないと警告している。この文書は、米国人の位置データの保管は「軍事防衛上の問題」であり、部隊の動きやその他の厳重に守られている軍事機密を漏洩する可能性があると強調している。

冷戦以降、国防総省内部での脅迫事件は激減しているものの、アメリカ国民を執拗に監視することに対する構造的な障壁の多くも消滅した。ここ数十年、米国の裁判所は、新たな技術が「以前であれば法外な費用がかかったであろう」監視を可能にすることでプライバシーを脅かすと繰り返し判断してきた。これは、第7巡回控訴裁判所が2007年に指摘した通りである。

2024年8月の判決で、別の米国控訴裁判所は、監視に「同意」したユーザーは実際には「通知」を受けており「自発的」にそうしているというテクノロジー企業の主張を却下し、「スマートフォンを持っている人なら誰でも」その逆のことは明らかだと断言した。軍関係者向けの内部資料では、敵対国が広告データに容易にアクセスし、スパイ活動のために軍関係者を搾取、操作、強制できると強調している。

外国で合法かどうかに関わらず、性労働者を利用することは統一軍事法典違反です。処罰は重く、給与の没収、不名誉除隊、最長1年の懲役刑などが科せられます。しかし、勧誘​​の禁止は単なる原則に基づくものではないと、婚姻事件を専門とする刑事弁護士のマイケル・ワディントン氏は指摘します。「こうした施設では、外国人工作員に遭遇する危険性が常に存在し、それが恐喝や搾取につながる可能性があります」と彼は言います。

「現在の地政学的状況を考えると、この問題は特に懸念されます。ヨーロッパに駐留する多くの米軍兵士は、ロシアの侵攻に対するウクライナ防衛の支援に携わっています」とワディントン氏は述べる。「彼らの誠実さが少しでも損なわれれば、我々の作戦と国家安全保障に深刻な影響を及ぼす可能性があります。」

国家安全保障を脅かすという点では、たとえ低位職員のデータであってもリスクとなり得ると、新アメリカ安全保障センター（CNAS）の技術・国家安全保障プログラムのシニアフェロー兼プログラムディレクターであるヴィヴェック・チルクリ氏は述べている。CNASに加わる前、チルクリ氏は上院情報委員会でマイケル・ベネット上院議員の立法担当ディレクターおよび技術政策アドバイザーを務め、以前は米国国務省に勤務し、暴力的過激主義対策を専門としていた。

「価値の低い標的が、価値の高い侵害につながる可能性があります」とチルクリ氏は言います。「たとえ組織内で上級管理職でなくても、機密性の高いインフラにアクセスできる可能性があります。システムのセキュリティは、最も弱い部分で決まるのです。」彼は、攻撃者が重要なサーバーやデータベースにアクセスできる人物を標的にできれば、その脆弱性を悪用して深刻な被害をもたらす可能性があると指摘します。「組織に侵入するには、適切なデバイスにUSBスティックを1本差し込むだけで十分です。」

危険にさらされているのは個々の隊員だけではありません。位置情報データによって、セキュリティプロトコルや作戦手順全体が漏洩する可能性があります。米国が推定10～15発のB61核兵器を保管しているとされるビュッヘル空軍基地では、データによって基地内の機器の日々の活動パターンが明らかになり、隊員が最も活動している時間帯や、さらに懸念されるのは、基地の人員が最も少ない時間帯も明らかになっています。

ビューヒェルには、核兵器保管用の強化金庫を備えた防護航空機シェルターが11棟あります。WS3（兵器保管・保安システム）と呼ばれる各金庫には、最大4発の核弾頭を保管できます。私たちの調査では、これらのバンカー内またはその付近にあった最大40台の携帯電話機器の正確な位置情報を追跡しました。

ビューヒェル基地の装置から観察できたパターンは、基地内の人々の勤務時間を把握するだけにとどまりません。これらを総合的に分析することで、主要な出入口をマッピングし、頻繁に訪れる場所を特定し、さらには基地外の行動を追跡することも可能です。テロリストにとって、この情報は金鉱となる可能性があり、弱点を特定したり、攻撃計画を立てたり、機密区域にアクセスできる人物を標的にしたりする機会となります。

今月、ドイツ当局は、ドイツにおける米軍の作戦に関する機密情報を中国の情報機関に渡すことを申し出た疑いで、米軍に雇用されていた元民間請負業者を逮捕した。

4月、ドイツ当局は、放火を含む破壊工作の可能性を察知したとして、ドイツ系ロシア人2名を逮捕した。標的となった場所の一つは、バイエルン州にある米陸軍のグラーフェンヴェーア訓練場だった。同訓練場は、233平方キロメートルに及ぶ広さで、欧州における米軍作戦の重要拠点となっている。

グラーフェンヴェーアでは、WIRED、BR、Netzpolitik.orgが最大1,257台のデバイスの正確な動きを追跡することができました。一部のデバイスは、装甲車専用コースであるレンジ301をジグザグに進み、近くの兵舎に戻る様子も観察されました。

デューク大学サンフォード公共政策大学院のシニアフェローであり、データ仲介研究プロジェクトの責任者でもあるジャスティン・シャーマン氏は、サイバーセキュリティとテクノロジー政策を専門とする企業、グローバル・サイバー・ストラテジーズの代表も務めています。2023年、シャーマン氏とデューク大学の共著者らは、アメリカ陸軍士官学校から25万ドルの資金提供を受け、データブローカーから軍人に関する機密データを購入することがどれほど容易であるかを調査しました。その結果は驚くべきものでした。データブローカーは、現役軍人に関する極めて機密性の高い、非公開の、個人を特定できる健康データと財務データを、一切の審査なしに購入できたのです。

「状況がいかに深刻かが分かります」とシャーマン氏は言い、リクエストを特定の特殊作戦基地に限定した経緯を説明した。「ロサンゼルスのマーケティング会社を装っていたわけではありません。データブローカーがどんなことを要求するかを見たかっただけです」。ほとんどのブローカーは彼らのリクエストに疑問を持たず、中には電信送金で支払えばID確認を省略すると申し出たブローカーもいた。

調査期間中、シャーマン氏は国防権限法の修正案の起草に携わりました。この修正案は、国防総省に対し、請負業者と共有する高度に識別可能な個人データが転売されないよう保証することを義務付けています。しかし、シャーマン氏はこの調査の全体的な影響は期待外れだと感じています。「問題は業界の範囲です」と彼は言います。「エコシステムの一部に重点的な規制を施行するのは素晴らしいことですが、業界の残りの部分に対処しなければ、情報機関員の位置データを欲しがる者にとって、この機会を逃すことになります。」

米国議会による包括的なプライバシー法案の成立に向けた取り組みは、10年近く停滞している。「アメリカ・プライバシー権利法」として知られる最新の取り組みは、共和党指導部が法案の廃案をちらつかせたため、6月に進展が見られず、その後大幅に弱体化されて棚上げとなった。

現在審議中のもう一つのプライバシー法案、「修正第4条売出禁止法」は、米国政府が通常は令状が必要となる国民データを購入することを禁止するものです。この法案は商業用位置情報データの販売を全面的に禁止するわけではありませんが、連邦政府機関がそれらの購入を利用して最高裁判所が支持する憲法上の保護を回避することを禁じます。この法案の運命は、非公開の交渉を行っている下院と上院の指導者たちの手に委ねられています。

「政府は、今や世界で最も不人気な産業の一つとなっているこの産業への補助金支給を止めるべきだ」と、非営利団体デマンド・プログレス（Demand Progress）の政策ディレクター、ショーン・ヴィトカ氏は語る。「データブローカーがプライバシーと国家安全保障にもたらす深刻な脅威を真剣に受け止めている議員は数多くいる。しかし、議会指導者たちの行動は、問題を悪化させるばかりだ。こうした人々が行動を起こすのに、死者が出る必要はないはずだ。」