世界中で数十億台ものスマホを監視するツール「Patternz」はアプリ内広告を通じてデータを収集していた

現代人にとってスマートフォンは仕事や日常生活において必要不可欠なものであり、スマートフォンを監視すれば対象のことを詳しく知ることができます。新たに、世界中で数十億台ものスマートフォンを監視していると主張するスパイツール「Patternz」についての調査結果を、ニュースサイトの404 Mediaが報告しました。404 Mediaによると、Patternzは数十万個ものアプリに採用されている「アプリ内広告」を通じてデータを収集しているとのことです。

Inside a Global Phone Spy Tool Monitoring Billions
https://www.404media.co/inside-global-phone-spy-tool-patternz-nuviad-real-time-bidding/

今回404 Mediaは、「Patternz」と呼ばれるスマートフォン向けの大量監視ツールについて分析を行いました。PatternzのCEOであるラフィ・トン氏は過去にYouTubeへ投稿された動画の中で、Patternzはアプリ内広告を含む60万個ものアプリを通じてデータを収集を行っており、スマートフォンが事実上の「追跡ブレスレット」になると説明しています。なお、当該動画は404 MediaがPatternzに問い合わせを行った後に削除されたとのこと。

動画ではあくまで「新型コロナウイルス感染症への対策」としてPatternzをアピールしていたそうですが、インターネット上で公開されているPatternzの(PDFファイル)マーケティング資料を確認すると、「国家安全保障機関が対象の行動パターンを分析するため」にPatternzが有用であることが記されています。

トン氏は動画の中で、実際にPatternzで追跡できる情報を示すデモンストレーションも行っています。トン氏が特定のプロフィールをクリックすると、次の画面にはユーザーが使用しているデバイスやGPSによる位置情報履歴が表示されました。Patternzでは、最高で誤差1mの範囲までユーザーの位置情報を調べられるとのこと。

また、Patternzでは「ユーザーが使用するアプリ」「自宅や職場で近くにいた人のリスト」「趣味や興味」といった情報まで調べられるほか、「特定の人物が特定の場所に訪れる」といった重要なイベントを指定し、アラートを設定することも可能となっています。

デモンストレーションで示されたある人物について、トン氏は「近くの病院を頻繁に訪れている」「ロシアの航空会社に勤務する客室乗務員である」「ビデオ＆コンピューターゲームが趣味」といった情報がわかると主張しました。

Patternzのマーケティング資料では、Patternzが毎日90TBを超えるデータを分析しており、50億個を超えるユーザーのIDプロファイルを持っていると記されています。トン氏はプレゼンテーションの中で、「すべてのデバイスには固有のIDがあり、私たちはそれについてのプロファイルを作成することができます」と述べています。

Patternzが世界中で大規模なスマートフォン監視網を形成するために使用しているのが、さまざまなアプリ内に広告を表示するために使われるリアルタイム入札という仕組みです。リアルタイム入札では、特定のタイプのユーザーに広告を出稿したい複数の広告主間で、リアルタイムで入札を行って掲載枠を決める仕組みです。

リアルタイム入札では、ユーザーの位置情報やデバイスに関するデータなどが企業と共有されます。Patternzはアプリ内広告のネットワークとプラットフォームを利用することで、世界中に存在するスマートフォンを監視しているというわけです。

Patternzが分析している広告フォーマットはバナー広告・ネイティブ広告・動画広告など多岐にわたり、トン氏は全体で60万個ものアプリがPatternzとつながっていると主張しています。なお、404 Mediaが分析した動画で示されているPatternzのデモ版では、17万7431個のAndroidアプリと6万1894個のiOSアプリのデータが含まれていると主張されていたそうです。

トン氏が挙げた「Patternzが利用するアプリ」の中には、ミーム収集プラットフォームの9gagやメッセンジャーアプリのKik、発信者の番号を通知してくれるTruecaller、数独やソリティアのゲームアプリなど、数多くの人気アプリが含まれていたとのこと。

リアルタイム入札を利用した監視において重要なのは、アプリに監視用のコードを埋め込む他の方法と異なり、Patternzがアプリ開発者と何らかの直接的な関係を結ぶ必要がないという点です。Patternzは「実際にメディアを取引する商業的かつ運用可能なアドテク部門」を持っていると主張しており、オンラインエコシステムに積極的に参入しているとのこと。

以下のインフォグラフィックは、Patternzがデータ収集に用いている19社の広告企業について示したもので、その中心にはイスラエルに拠点を置く「Nuviad」という企業が掲載されています。トン氏はPatternzと兼任してNuviadのCEOも務めているそうで、NuviadがYouTubeに投稿した動画にも登場しています。

404 Mediaは一連の調査についてトン氏に問い合わせましたが、トン氏はコメントの要請に応じませんでした。Nuviadの社長兼最高ビジネス責任者であるニムロッド・シュワルツ氏は404 Mediaに宛てたメールで、PatternzとNuviadは別々の会社であり、確かにトン氏がPatternzの「暫定CEO」を務めているものの、データ共有はしていないと主張しました。

2023年12月から始まった404 Mediaの調査を受けて、Googleは自社の広告ネットワークとのやり取りを認める「認定バイヤー」からNuviadを削除することを決定しました。Googleの広報担当者は、「私たちは人々のプライバシーを保護する責任を重く受け止めており、業界で最も厳しい制限を設けています。そのため、正確な位置情報や機密性の高い個人データをリアルタイム入札のバイヤーと共有することはありません。また、私たちのポリシーでは、機密性の高いデータに基づいて個人を特定したり、プロファイルを作成したりするいかなる試みも禁止しています」と語っています。

また、アプリ内広告のプラットフォームであるPubMaticもNuviadとの関係を一時停止したと404 Mediaに報告したほか、Microsoftも広告プラットフォームのXandrでNuviadをブロックリストに追加したとのことです。

404 Mediaが、GoogleとNuviadの関係が打ち切られた件についてシュワルツ氏に問い合わせると、シュワルツ氏は「ブラボー！あなたは会社を殺しました。影響は単純です……Nuviadは死にます」と電子メールで送ってきたそうです。

なお、プライバシー専門家の間では以前からPatternzのことが知られており、アメリカ民主党のロン・ワイデン上院議員は2021年6月の段階でPatternzについてGoogleへ問い合わせていたとのこと。その後もワイデン氏の事務所はたびたびGoogleへ追加の調査結果を送ってきましたが、これまで対応されることはありませんでした。ようやくGoogleがNuviadを締め出したことについて、ワイデン氏は「あまりに長い時間がかかってしまいましたが、Googleがユーザーデータへのアクセスから監視企業を切断したことをうれしく思います」と404 Mediaにコメントしました。