大手携帯キャリアが持つユーザーの位置情報を「バウンティハンター」が購入していたことが判明

by Vitaly Vlasov

アメリカの大手携帯キャリアであるAT&T、T-モバイル、スプリントといった企業が持つユーザー端末の位置情報に、数多くの「バウンティハンター(賞金稼ぎ)」がアクセスしていたことがMotherboardによって明らかにされました。バウンティハンターがアクセスできた位置情報には、緊急通報ダイヤルへの電話に対し現場へ急行するファーストレスポンダーが使用する特殊なGPS情報も含まれていたとMotherboardは報告しています。

Hundreds of Bounty Hunters Had Access to AT&T, T-Mobile, and Sprint Customer Location Data for Years - Motherboard
https://motherboard.vice.com/en_us/article/43z3dn/hundreds-bounty-hunters-att-tmobile-sprint-customer-location-data-years

Big Telecom Sold Highly Sensitive Customer GPS Data Typically Used for 911 Calls - Motherboard
https://motherboard.vice.com/en_us/article/a3b3dg/big-telecom-sold-customer-gps-data-911-calls

2019年1月、Motherboardは大手携帯キャリアが顧客端末の位置情報を販売しており、末端ではブローカーを通じてさまざまな企業や人物の手に位置情報が渡っていると報じました。

大手携帯キャリアが顧客端末の位置情報を販売している - GIGAZINE

携帯キャリア大手は「ロケーションアグリゲーター」と呼ばれる企業に顧客の位置情報を販売しており、ロケーションアグリゲーターはさらに別の企業にモバイル端末の位置情報を売り渡しています。ロケーションアグリゲーターは人々の位置情報を、立ち往生した車を救助に向かうロードアシスタンスや詐欺を検出する金融企業などに販売しているとのこと。

そんな中、Motherboardはロケーションアグリゲーターから「CerCareOne」という企業の手にモバイル端末の位置情報が渡っていたことを突き止め、CerCareOneがさらに末端の第三者へと位置情報を販売していたと報じています。CerCareOneは少なくとも2012年から位置情報の販売を行っていましたが、2017年にその業務を終了して今は会社自体が存在していないとのこと。Motherboardが入手したCerCareOneの社内文書によると、CerCareOneは250人を超える「バウンティハンター」と呼ばれる人々に位置情報を売っていたそうです。

バウンティハンターとはそのまま訳すと「賞金稼ぎ」のことになります。アメリカには逮捕された被疑者の保釈金を立て替える「保釈保証業者」というビジネスがありますが、高額な保釈金を立て替えてもらった顧客が逃亡し、保釈金の返済を踏み倒そうとするケースがあるとのこと。そんな逃亡者を捕まえて、保釈保証業者に引き渡す業務を行う人々が、現代のアメリカではバウンティハンターと呼ばれています。バウンティハンターは成功報酬制であり、報酬の相場は保釈金の5～10％程度だとされています。

大手キャリアが持つ端末の位置情報がロケーションアグリゲーターに販売され、さらにCerCareOneに売り渡され、バウンティハンターや関連する保釈保証業者がその情報をもとに逃亡者を捕まえていたとMotherboardは説明しました。大手キャリアはバウンティハンターが逃亡者を捕まえるために位置情報を利用することを許可していませんが、末端の方でどのように顧客の位置情報が使われているのかまでは把握し切れていないとのこと。

そして、Motherboardによるとおよそ250を超えるバウンティハンターおよび関連企業が大手キャリアから流れてきた位置情報にアクセスしており、1万8000回以上も位置情報にアクセスした保釈保証業者も存在するそうです。保釈保証業者は多くの場合、保釈金を肩代わりする相手と交わす契約書の中に「保証金を払わなかった場合、携帯電話の位置情報サービスを利用する権利を保釈保証業者が持つ」という文言を入れているとのこと。

また、CerCareOneが販売していた位置情報サービスは通常のGPSだけでなく、A-GPSと呼ばれる特殊な位置情報まで含まれていたことがわかっています。A-GPSは通常のGPS衛星を使った位置情報特定に加え、携帯電話ネットワークの通信機能を補助的に用いたものです。

A-GPSが使われる場面としては、ユーザーが緊急通報ダイヤルをかけた際に真っ先に現場へ駆けつけるファーストレスポンダーが、発信元の位置を特定するといった場面が想定されています。A-GPSは屋外だけでなく屋内でもある程度の位置が把握できるようになっており、誤差はほんの数mだとのこと。なお、Motherboardが大手キャリアに「かつてA-GPSの情報を売り渡したことがあったか」と尋ねたところ、どの企業も明確な答えを返してはこなかったものの、「売り渡していない」と否定することはなかったといいます。

by rawpixel.com

CerCareOneの存在は、バウンティハンターおよび保釈保証業者のコミュニティ内でのみ知られる秘密となっており、2017年に業務が終了してもしばらくはその存在が外部に漏れることはありませんでした。しかし、調査を開始したMotherboardはCerCareOneが使っていたウェブサイトと同一のIPアドレスにホストされた、LocateUrCell.comというサービスのウェブサイトを発見しました。

LocateUrCellは携帯電話の位置情報を利用して、行方不明になったお年寄りや迷子になった子どもの居場所を突き止めたり、なくした携帯電話を探すというサービス。2011年に地元のニュースに掲載されたLocateUrCellのCEOであるFrank Rabbito氏のインタビューでは、サービスは大手携帯キャリアと協力し、GPSを使って登録者の携帯電話を探し出すと述べられています。なお、Rabbito氏はMotherboardのコメント要請に応えませんでした。

電子フロンティア財団のサイバーセキュリティキャンペーングループのディレクターであるEva Galperin氏は、「今回発覚した位置情報の乱用は、あまりにもひどいものです」と述べました。

by John-Mark Smith