スマホの加速度センサーで個人の端末を特定して追跡できることが判明、広告に悪用される危険性も

By Kit

ユーザーの行動履歴をもとに興味関心を推測しターゲットを絞ったインターネット広告の配信を行う手法は行動ターゲティング広告と呼ばれます。このターゲット広告にスマホの「加速度センサー」が悪用される危険性をスタンフォード大学の研究者が指摘しています。

Stanford researchers discover ‘alarming’ method for phone tracking, fingerprinting through sensor flaws | The Technology Chronicles | an SFGate.com blog
http://blog.sfgate.com/techchron/2013/10/10/stanford-researchers-discover-alarming-method-for-phone-tracking-fingerprinting-through-sensor-flaws/

これまでもCookieなどを使うことで個々のユーザーのIDを識別、オンラインでの行動をモニターして広告戦略に利用することができましたが、ユーザーの行動追跡の最新トレンドは、スマートフォンの加速度センサーがウェブ上に残すデータを活用する手法のようです。

スタンフォード大学のHristo Bojinov氏は、スマホの加速度センサーがウェブページに提供するデータを分析するというシンプルな方法で、個々の端末を識別できることを発見しました。Bojinov氏によると、この手法を用いればウェブ上でその端末を追跡することは十分可能ということです。

加速度センサーは今やスマホの標準機能として装備されていますが、そのセンサーの精度には端末ごとにわずかな狂い(誤差)があり、この誤差は各端末ごとに特有の値であるため、あたかも個々の端末の"指紋"のような役割を果たします。つまり加速度センサーの指紋を調べることで個々の端末を区別することが可能というわけです。

これは、テストした16台の端末の加速度センサーの誤差の数値を分布したグラフ。

Bojinov氏は「どんなウェブサイトでも、ちょっとしたスクリプトを導入することでこの加速度センサーの指紋データを収集することが可能です」と言っており、実際に以下のような手法で加速度センサーの利用が可能となっています。

iOS4.2から実装されたというJavaScriptの加速度センサーAPIを試してみました | ke-tai.org - インフィニットループ

iPhoneの加速度センサーをJavaScriptで取得してみたよ | CYBER BALLAD

[ヅ] Android 3.0 端末の傾きを JavaScript Device Orientation で取得するサンプル (2011-06-13)

Coboral.net » Androidの加速度センサをブラウザで使う

そして、Cookieや特定の情報収集アプリなどのトラッキングに対してはユーザー側でこれを防ぐ対策を立てることができるのに対して、ウェブ上に仕込まれた加速度指紋データの収集機能はユーザーが感知することができないため対策を打つことが不可能である点が問題であるとします。Bojinov氏は、この手法をすでに誰かが実行しているかどうかは定かではないとしつつも、「もし仮に誰もまだこの加速度センサーデータの可能性を探っていないとすれば、それは驚くべきことです」と語ります。

さらに、Bojinov氏の研究グループは、様々な音階の音を鳴らした場合にスマホのマイクが感知する周波数の値にも端末ごとに特徴があるため、加速度データと同様に端末を識別するのに悪用できることも発見しています。

下の3Dのグラフは、それぞれの色が16機種の音階周波数の反応を表しています。3回行われた実験結果から、周波数データは見事に同じ形をしていることが分かります。

今回スタンフォードの研究者が発見した手法以外にも、端末を識別する方法は他にもたくさんあるということで、ユーザーの行動トラッキングがオンライン広告に極めて有効であり金になる限り、これを防ぐ新技術や法規制の誕生と、これを回避しようとする手法の開発は、いたちごっことして今後も続いていきそうです。なお、ニューヨーク・タイムズによると、GoogleはCookieに代わる新たなユーザー追跡手法を広告で採用しようと模索中である、としています。