大手携帯キャリアが顧客端末の位置情報を販売している

by ROBIN WORRALL

T-Mobile、Sprint、AT＆Tというアメリカの大手通信キャリアが顧客端末の位置情報を販売しており、そのデータは人知れず第三者の手に渡り、販売元のキャリアが意図していない使われ方をしていると海外メディアのMotherboardが報じています。

T-Mobile, Sprint, and AT&T Are Selling Customers' Real-Time Location Data, And It's Falling Into the Wrong Hands
https://motherboard.vice.com/en_us/article/nepxbz/i-gave-a-bounty-hunter-300-dollars-located-phone-microbilt-zumigo-tmobile

Motherboardのジョセフ・コックス氏は、個人や企業を対象に、対象の携帯電話の位置情報を提供しているという人物に出会いました。この人物は保釈された被疑者の代わりに保釈金を建て替える業務を行う"保釈保証人"をしている傍らで、位置情報の販売もしているとのこと。この保釈保証人は、電話番号から携帯電話の位置を割り出せるそうで、数万円の報酬を支払えば、ほとんどの携帯電話のリアルタイム位置情報まで特定できるそうです。保釈保証人が直接携帯電話の位置情報を割り出すわけではなく、電話番号をどこかの誰かに送信すると、携帯電話の現在地が示されたGoogleマップのスクリーンショットが送られてくる模様。なお、スクリーンショット上の青色の円が携帯電話の現在地で、約数百メートルレベルの精度で位置を特定できるそうです。詳細に「この店のこの部屋に携帯電話が存在する」ということろまで特定することはできませんが、現在地情報を受け取った保釈保証人は、現地におもむきあっという間にターゲットを確保することに成功するそうです。

保釈保証人が携帯電話の現在地を特定するために使用している「追跡ツール」は、アメリカの大手キャリアであるT-Mobile、AT＆T、Sprintを含む通信事業者自身が販売している各携帯電話のリアルタイム位置情報に依存したものです。このリアルタイム位置情報は口コミネットワークを通じ、秘密裏に販売されている模様。

法執行機関は、サービスプロバイダやSecurusなどの企業が提供する位置情報、もしくは携帯電話の会話を盗聴・マルウェア感染・位置特定を可能にさせる監視装置「IMSIキャッチャー」などを使ってターゲットの携帯電話の位置を追跡することができます。しかし、Motherboardが独自に入手した情報によると、少なくともMicrobiltという企業は、自動車のセールスマンや不動産管理者、保釈保証人といったさまざまな業種の人々に、携帯電話のリアルタイム位置情報を販売しているとのこと。さらに、Microbiltから販売される携帯電話のリアルタイム位置情報は、そういった類の情報の取り扱いを許可されていない闇市場の人々にも転売されている、とMotherboardは指摘しています。

by OOI JIET

Motherboardは販売されている携帯電話のリアルタイム位置情報について調査したところ、さまざまな企業が携帯電話の位置情報にアクセス可能であること、そしてそういった情報は携帯キャリアから「データ保護のために必ずしも正しい保護手段を講じているとは限らない小規模なプレイヤー」にも流れていることが明らかになっています。

携帯電話は常に近くの基地局と通信しているため、携帯キャリアはロケーションアグリゲーターと呼ばれる会社に(PDF)顧客の位置情報へのアクセス権を販売し、データの管理を任せています。このロケーションアグリゲーターが特定のクライアントや業界に向けて、携帯電話の位置情報を販売します。

大手キャリアからロケーションアグリゲーター、さらには別の企業といった具合に、アメリカでは携帯電話ユーザーの機密情報の一部である位置情報を共有する複雑なサプライチェーンが存在しています。そして、エンドユーザーは位置情報がどのように扱われているかを知りません。また、位置情報の提供元である大手キャリアの中にも、データが最終的に誰の手に渡っているのかまでは把握できていないケースが存在しています。金融会社は電話の位置情報を使って詐欺を検出し、ロードアシスタンスは立ち往生している顧客を見つけるために位置情報を使うわけですが、「保釈保証人が位置情報を用いて携帯電話の持ち主(保釈された被疑者)を探す」といったケースも存在しており、AT＆Tは「そういった使用法は当社のプライバシーポリシーに反する」とコメントしています。このコメントに対してMotherboardは、位置情報がどのように活用されているか把握していないことは明らかであり、「AT＆Tが位置情報の販売をどのように許可しているのかについて疑問が残る」と指摘しています。

Motherboardの調査によると、T-MobileはZumigoというロケーションアグリゲーターに位置情報へのアクセス権を提供しており、このZumigoがMicrobiltに情報を提供しています。Microbiltは携帯電話のリアルタイム位置情報を保釈保証業者のような顧客に提供しており、ここから保釈保証人たちのような人々に情報が流れ、最終的にMotherboardがキャリアが顧客の位置情報を販売している事実を知るところとなった模様。

AT＆T、Sprint、T-Mobileがメンバーとなっている通信業界の業界団体であるCTIAは、「ユーザー通知と同意」という2つの基本原則に基づいた、「ロケーションベースのサービス」の使用に関する(PDF)公式ガイドラインを出しています。携帯キャリアおよびロケーションアグリゲーターは、Motherboardに対して「クライアントには、追跡する相手からの同意を得た上で位置情報の追跡を行うようにと要求している」と返答したそうですが、必ずしもこの同意が得られているわけではないことは明らかです。Motherboardが接触することに成功した位置情報業界に精通した2人の情報筋は、「お金が生まれる限り彼らは位置情報を売り続けるだろう」と語っています。

さらに情報筋は、「サプライチェーンの3番目の企業が位置情報を売っている」とも語っています。Privacy Internationalのデータ活用プログラムでリーダーを務めるFrederike Kaltheuner氏も、「これはアメリカが完全に規制されていないデータエコシステムを持っているために起こる問題だ」と、問題の原因を指摘しています。

ロケーションアグリゲーターのZumigoから位置情報へのアクセス権を購入しているMicrobiltは、そこから得た情報をめまいがするような数の顧客に販売しているとのこと。Microbiltは「Mobile Device Verify」と呼ばれる、電話番号を入力するだけでターゲットとなる携帯電話の持ち主のフルネームと住所を調べ、位置情報を特定したり継続的に位置を追跡したりすることができるツールも提供しています。情報筋によると保釈保証人の中には仕事以外に「自分のガールフレンドの動向を追跡するために追跡ツールを使用しているケースもある」とのことで、ストーカー被害などに利用される可能性もあります。

MotherboardはMicrobiltが保釈保証人に携帯電話の位置情報を提供しているかどうかを、同社のカスタマーサポートセンターに問い合わせたそうです。すると、以下の価格表がメールで送信されてきたそうです。価格表によるとモバイル端末のアカウントを特定するだけなら1台当たり0.25ドル(約27円)、アカウントと位置情報を特定する場合は4.95ドル(約540円)、アカウントと位置情報を特定しリアルタイム位置情報も入手したい場合は12.95ドル(1400円)が必要になることが明らかになっています。

なお、MotherboardがMicrobiltに対して直接コンタクトを取り事実確認を行ったところ、Microbiltは自社のウェブサイト上から携帯電話の位置情報を追跡するツールに関する文章を削除したそうです。しかし、Microbilt公式の資料には確かに追跡ツールの存在が明記されています。

Microbilt Mobile Device Verify 2018

Microbiltは詐欺防止のために同社の追跡ツールを使用するには、最初に消費者の同意を得なければいけないと説明しており、民間保釈保証会社などの「認可された州機関」にのみ情報を提供しているとしています。同時に、「Microbiltは虚偽の情報を入力したユーザーの存在については認識しておらず、Motherboardが報告したような使用例は承認していません。悪用が疑われるものを調査し、当社の契約違反を確認した上でツールへのアクセスを停止します」と、位置情報の提供は認可された機関にのみ行われてきたと主張し、認可のない相手については追跡ツールへのアクセスを順次停止していくとしています。

Microbiltに情報を提供してきたZumigoは、「データへの違法アクセスは消費者または従業員のデータを扱うあらゆる業界にとって不幸な出来事です。また、必要な同意が得られた場合であっても、詐欺師や不正な顧客がモバイル端末の位置情報を得ることは不可能です。なぜなら、Zumigoは所在地からの距離(約0.8～1.6メートル)を提供することによってプライバシーを保護するための措置を講じているからです」とコメントしています。加えて、Microbiltへのデータ提供を停止したことをMotherboardに明かしています。

T-Mobileは「お客様の情報のプライバシーとセキュリティについて真剣に受け止め、顧客データの誤用を許容しません」と語り、Zumigoと協力してMicrobiltへのデータ提供を停止したことを明かしています。加えて、Motherboardの指摘によりAT＆TもMicrobiltへのデータ提供を停止したとのことです。

Microbiltの追跡ツール説明によると、すべてのキャリアの携帯電話を追跡可能となっていましたが、Motherboardが接触に成功した仲介業者はMicrobiltの追跡ツールでVerizon端末を検索することを拒否したそうです。また、Verizonからこの件についてのコメントは得られていないそうです。

なお、Sprintは「顧客のプライバシーとセキュリティを保護することが最優先事項であり、プライバシーポリシーでそのことについては透明性があると述べています」とMotherboardに語っており、SprintはMicrobiltとの直接的なつながりはないとしています。