ユーザーのプライバシーを守るはずのVPNサービス「Hotspot Shield」がアクセスデータを売っていたと糾弾される

VPNサービスのHotspot Shieldが、プライバシーポリシーに反してユーザーのトラフィックを追跡し、アクセス情報を第三者に販売していたとして批判されています。「ユーザーのプライバシーを守る」といううたい文句と真っ向反対の裏切り行為が事実なのかアメリカ当局の調査が入る見込みです。

FTC complaint about Hotspot Shield
https://www.documentcloud.org/documents/3914264-FTC-complaint-about-Hotspot-Shield.html

Hotspot Shield VPN Accused of Spying On Its Users' Web Traffic
http://thehackernews.com/2017/08/hotspot-shield-vpn-privacy.html

バーチャルプライベートネットワーク(VPN)はインターネット上に仮想的に構築される専用のネットワークで、安全な通信を可能にしユーザーのプライバシーを守る技術として利用されています。そのVPNサービスを可能にするアプリを提供するHotspot Shieldが、ユーザーを欺いてプライバシーを売り物にしていたと、プライバシー保護を目的とする非営利団体のCentre for Democracy and Technology(CDT)が主張して、連邦取引委員会(FTC)に捜査を依頼しました。

CDTによると、Hotspot Shieldは「完全な匿名を保証する」というプライバシーポリシーに反して、ユーザーのブラウジング履歴を監視して接続を記録したり、eコマースのトラフィックを特定のパートナードメインにリダイレクトしたり、収集したデータを広告主に売却したりしていたとのこと。CDTとカーネギーメロン大学の研究者がHotspot Shieldアプリのソースコードをリバースエンジニアリングしたところ、アプリはiframeを使ったJavascriptコードを差し込むことでユーザーデータを追跡しており、VPNが5つ以上の異なるサードパーティトラッキングライブラリを使用していることがわかってます。また、アプリがワイヤレスネットワークのSSID/BSSIDや、MACアドレス、デバイスのIMEI番号などの識別子を取得していたこともみつかっています。

CDTが調査についてまとめた報告書には、Hotspot Shieldが反故にしていたユーザーポリシーの文言にハイライトがあてられており、Hotspot Shieldの行為を「不公正でユーザーをだます商習慣」だと非難しています。

CDTの訴えにより、今後、FTCの捜査によってHotspot Shieldのデータ収集疑惑の全容が明らかになる見込みですが、VPNサービスを利用する場合、サービス提供者の選択に細心の注意を払う必要性があることを、今回の事件は示していそうです。