世界中のスマホの位置をGoogleとAppleの広告識別子を悪用して追跡するサービス「Locate X」の存在が明らかに

アメリカのニュージャージー州に拠点を置くデータプライバシー団体のAtlas Data Privacy Corpが、「Locate X」という位置情報追跡サービスを提供するBabel Streetというテクノロジー企業を訴えました。Locate XはAppleやGoogleのスマートフォンに組み込まれている広告識別子を悪用して人々の位置情報を追跡するサービスであり、Babel Streetは政府機関だけでなく個人の顧客にもLocate Xを販売しているとのことです。

The Global Surveillance Free-for-All in Mobile Ad Data – Krebs on Security
https://krebsonsecurity.com/2024/10/the-global-surveillance-free-for-all-in-mobile-ad-data/

Inside the U.S. Government-Bought Tool That Can Track Phones at Abortion Clinics
https://www.404media.co/inside-the-u-s-government-bought-tool-that-can-track-phones-at-abortion-clinics/

An investigation exposes data brokers using ads to help track almost any phone - The Verge
https://www.theverge.com/2024/10/23/24277679/atlas-privacy-babel-street-data-brokers-locate-x-tracking

Atlas Data Privacy Corpは個人情報削除サービスを展開する企業で、これまでに151ものデータブローカーに訴訟を提起しています。2024年10月、新たにAtlas Data Privacy CorpはBabel Streetという企業を相手に同様の(PDFファイル)訴訟を起こしました。この(PDFファイル)訴訟では、Babel Streetが提供するLocate Xというサービスが法律に違反したとされており、Atlas Data Privacy Corpは私立探偵を雇ってLocate Xの調査を行ったとのこと。セキュリティ系ブログのKrebs on Securityや海外メディアの404 Mediaなどは、私立探偵がLocate Xのトライアル版を使用した際の画面録画を確認しました。

私立探偵が調査のためにBabel Streetに接触すると、営業担当者はBabel Streetが政府または政府の請負業者にのみサービスを提供していると説明しました。しかし、私立探偵が「将来的に政府の契約業務を請け負うつもりです」と話すと、営業担当者は「それで十分です。実際にはチェックしません」と答え、本来民間人には提供されないはずのLocate Xのトライアル版を提供したとのこと。

Locate Xのトライアル版では、世界中に存在するほぼすべての場所をデジタルポリゴンで囲み、指定されたエリアに過去数日間で出入りしたデバイスの履歴を確認することが可能でした。これは、モスクやシナゴーグといった宗教施設、法廷、中絶クリニックといったプライベートに関わる施設も例外ではなかったそうです。また、AppleやGoogleのモバイルデバイスに組み込まれている広告識別子を使い、個々のモバイルデバイスのユーザーを追跡することもできました。

以下の画像は実際にLocate Xを使い、ミシガン州のモスクに出入りしたモバイルデバイスの広告識別子を赤い点で示したもの。膨大な数のデータを収集可能であることがわかります。

Locate Xのトライアル版を使用した私立探偵はニュージャージー州の裁判所で「陪審員用に予約された駐車場」をエリア指定し、当日行われた裁判の陪審員が持つモバイルデバイスを特定することにも成功しました。さらに広告識別子を使い、陪審員と思われる人物を自宅まで追跡することも可能だったほか、ターゲットが毎晩寝ている場所を数mの誤差で特定する機能も提供されているとのこと。

訴状には、Locate Xによるプライバシー侵害の被害者としてニュージャージー州の警察官であるスコット・マロニー氏と、同じく警察官でスコット氏の妻であるユスティナ・マロニー氏の事例が記載されています。この2人は市民対応中の動画が話題となった件をきっかけに住所や電話番号がSNSでさらされ、殺害をほのめかす脅迫メッセージを受け取るようになり、実際に自宅付近で覆面をかぶり武装した人物が逮捕される事態も発生しています。

私立探偵がLocate Xを使って2人のiPhoneを見つけようと試みたところ、スコット氏のiPhoneは見つかりませんでしたが、ユスティナ氏が持つiPhoneを識別することに成功し、日々の行動を把握できたと報告されています。ユスティナ氏のiPhoneに入っているアプリのうち、位置情報を使っているものは大手百貨店のメイシーズのアプリだけだったそうです。

メイシーズはAtlas Data Privacy Corpの問い合わせに対し、「私たちは顧客の位置情報を保存していません。私たちは、この強化されたアプリ体験の提供を支援する、限られた数のパートナーと地理的位置データを共有しています」と回答しています。この事例は、さまざまなアプリが収集する位置情報が広く共有され、最終的にデータブローカーの手に渡っていることを示しています。なお、Babel StreetがLocate Xに使用しているモバイルデバイスの位置情報データは、民間の電話追跡会社・Venntelから取得したものだとみられています。

広告識別子はそれぞれのモバイルデバイスに割り当てられる識別子であり、個々のユーザーにターゲティング広告を配信するために用いられています。広告識別子のデータソースには位置情報を利用するさまざまなアプリがあるほか、デバイスから広告が掲載されているウェブサイトにアクセスした際にも広告識別子と位置データが送信されます。これにより、広告主はターゲットに適した消費者にリアルタイムで広告を配信できますが、一部のマーケティング企業はこのデータを広告主以外に販売しており、位置情報の追跡に利用しているというわけです。

コメントの要請に対し、GoogleはBabel Streetに対してリアルタイムの入札リクエストを送信しておらず、正確な位置データの共有も行っていないと回答。入札リクエストは広告枠を売買するアドエクスチェンジに送信される広告枠についての情報であり、ユーザーの位置情報などが含まれています。また、ポリシーでリアルタイム入札データの販売や広告以外の目的での使用を禁じていると付け加えました。

Appleも声明で、Appleデバイスの位置情報サービスはデフォルトでオフになっており、各アプリやウェブサイトは位置情報を使用する際に許可を得る必要があると説明しています。Appleの広報担当者は、「私たちはプライバシーが基本的人権であると信じており、ユーザーが自分のデータを制御できるように、各製品とサービスにプライバシー保護を組み込んでいます」と述べました。