Mozillaのプライバシー・セキュリティテストで、インターネット接続車が全車不合格
(gizmodo.com)- Mozillaの *Privacy Not Included プロジェクトで、BMW、Ford、Toyota、Tesla、Subaruなど主要自動車ブランド25社のインターネット接続機能を備えた新車が、プライバシー・セキュリティ基準をすべて満たせなかった
- 最新の車両は マイク、カメラ、スマートフォン、アプリ、Webサイト を通じてドライバーのデータを集め、メーカーはそれを第三者と共有または販売できる
- 収集範囲は走行位置や健康情報から、一部のポリシー上では 性生活、人種、移民ステータス、遺伝データ といった機微情報にまで広がる
- Mozillaは調査対象ブランドの 暗号化の有無 を確認できず、関連質問に回答したメーカーはMercedes-Benzだけだった
- Subaruのように同乗者まで同意済みの「ユーザー」と見なす事例は、車両のプライバシーポリシーがドライバーと乗客の双方にとって制御しにくい構造であることを示している
Mozillaの調査結果
- Mozillaの *Privacy Not Included プロジェクトは、インターネット接続機能を持つ新車のプライバシー・セキュリティ慣行を調査した
- 調査対象となった主要自動車ブランド25社は、Mozillaのテストをすべて通過できなかった
- 対象ブランドには BMW、Ford、Toyota、Tesla、Subaru などが含まれる
- 今日の新車は、大量の個人情報を収集する「車輪の付いたプライバシーの悪夢」に近いと評価された
車両が収集するデータ
- 最新の車両は マイク、カメラ、接続された携帯電話、メーカーのアプリやWebサイト など複数の経路でデータを収集する
- 一部ブランドはドライバーについて次のような情報を収集する
- 運転位置
- 顔の表情
- 体重
- 健康情報
- 人種
- 一部の車両関連ポリシーには、自動車が知っているとは考えにくい機微情報も含まれる
- 性生活
- 移民ステータス
- 遺伝データ
ブランド別の事例
- Nissan はMozillaが指摘した最悪の事例である
- Nissanのプライバシーポリシーは、性生活、健康診断データ、遺伝データを収集できることを示唆している
- ただし、そのデータが具体的にどのように収集されるのかについての詳細は確認されていない
- Nissanは「嗜好、特性、心理的傾向、性向、行動、態度、知能、能力、適性」をデータブローカー、法執行機関、その他の第三者と共有または販売する権利を保持している
- Nissanの広報担当者は、個人データを収集または共有する際には適用法を遵守し、透明性を提供していると説明した
- Nissanは、プライバシーポリシーが複数州のプライバシー法改正に合わせて個人情報と機微な個人情報を広く定義しており、偶発的に受け取る可能性のあるデータ種別まで含めていると付け加えた
- Volkswagen はシートベルト着用の有無やブレーキ操作の習慣といった運転行動を収集し、それを年齢・性別などの情報と組み合わせてターゲティング広告に活用している
- Kia のプライバシーポリシーは、ユーザーの「sex life」を監視する権利を保持している
- Mercedes-Benz はインフォテインメントシステムにTikTokがプリインストールされた車両を出荷しており、TikTok自体にもプライバシー上の問題がある
メーカーの反応
- BMWの広報担当者は、BMW NAが顧客に個人情報収集に関する包括的なプライバシー通知を提供していると説明した
- BMW NAは、ドライバーが個人情報の収集と処理について細かな選択を行えるようにしていると述べた
- BMWの広報担当者は、この研究は確認していないが、BMW NAは顧客の車内の個人情報を販売しておらず、顧客データを保護するための包括的な措置を講じていると付け加えた
- Mercedes-Benzの広報担当者は、同社が研究を確認していないためコメントを拒否した
- ただし、MercedesMe Connectアプリがユーザーにプライバシー設定と一部サービスのオプトアウト機能を提供していると述べた
- 記事で言及された他のメーカーは、即時の回答を提供しなかった
セキュリティと暗号化の問題
- プライバシー問題は、収集されるデータの性質だけにとどまらない
- Mozillaは、調査対象ブランドが収集データを 暗号化しているかどうか を確認できなかった
- Mozillaの質問に回答したブランドはMercedes-Benzのみだった
「プライバシーウォッシング」と業界原則
- Mozillaは、複数の自動車ブランドが プライバシーウォッシング を行っていると評価した
- 消費者にプライバシー問題を心配しなくてよいという印象を与えるが、実際の状況はその逆だという意味である
- 多くの主要メーカーは、Alliance for Automotive Innovationの Consumer Privacy Protection Principles に署名している
- Mozillaは、この原則を自動車メーカーが自ら作った、拘束力のない曖昧な約束だと見ている
- Alliance for Automotive Innovationの広報担当者は、この原則は現在も有効であり、Federal Trade Commissionが執行可能だと述べた
同意と乗客の問題
- Subaruは車両の同乗者を「ユーザー」と見なし、その同乗者が情報収集に同意したものと見なす
- 複数の自動車ブランドは、ドライバーが乗客に車両のプライバシーポリシーを知らせるべきだと求めている
- Toyotaには12種類の異なるプライバシーポリシーがある
- 車両のプライバシーポリシーは、ドライバーと乗客が実際に読んで理解したうえで同意するのが難しい形で提示されている
1件のコメント
Hacker News のコメント
最近のプライバシー侵害の中でも、自動車まわりがいちばん嫌い。「車好き」ではあるが、古い車にだけ執着するタイプではなく、新技術や工学の進歩、EVも好き
それでもここ数か月、新車を探しているのに買えずにいる。希望条件を満たす車がほとんどないからだ。各社は乗用車よりトラックやひどいクロスオーバーばかり作っていて、いつも足を引っ張るのは狂ったようなテレメトリ、あちこちのタッチスクリーン、中途半端な安全技術、あるいはばかげたディーラー上乗せ価格
Toyota GR Corolla は自分の条件にはほぼ完璧に見えるが、どこを探しても2万5千ドル以上のディーラー上乗せなしでは見つけにくく、多くのディーラーは州外在住者には売ろうともしない。新車市場も中古車市場も、本当におかしな時期だ
すぐ時代遅れになるだけでなく、危険ですらある
カーボンファイバーのフレームもあり、見た目は背の高いエコノボックスのようだが、走りはとても良い。ただし i3 は生産終了しており、新型モデルではジョグホイールにタッチスクリーンが追加されているので、そのジョグホイールが実用に十分なほどよくできているかは分からない
新型は試乗していないが、購入前にはコンピューター UI を入念に確認すると思う。BMW が物理操作系を維持し、顧客をひどく扱わないという逆方向のアプローチで成功し、他メーカーも追随してくれればいい
こういう車は、おおむね年に1回くらいは修理することになる
テレメトリを無力化しようという話は多いが、今回は単に広告販売の問題ではない。実際の監視と統制に関わる問題であり、最終的には各国政府がこれを義務化したうえで、回避行為を著作権侵害と同じくらい違法にする気がする
米国政府は「我々ではなく自由市場であり、人々が望んだことだ」と両手を上げるだろうが、自動車会社は互いに足並みをそろえてデータを収集し、NSA が持っていくのを放置するか、アクセスを妨げないだろう
J6 にいた全員を刑務所に入れられるなら良いことだと考える人もいるだろうが、保守政権が誕生すれば、暴力沙汰になった BLM デモの現場にいた全員を標的にできる。「私たち」が「彼ら」に許した権力は、いずれ「私たち」に向けて使われる
この内容はすべて、この元資料に基づいている: https://foundation.mozilla.org/en/privacynotincluded/categor...
方法論を深く見たわけではないが、実際の車両テレメトリ通信を調べたのではなく、プライバシーポリシーを基準にしているようだ。文章のトーンも軽すぎて、扇情的な「omagad」という感じで、このテーマや結果の深刻さをうまく伝えられていない
pi-hole のデフォルト設定でブロックされるものだけを列挙すると、analytics.tiktok.com、sp.analytics.yahoo.com、googletagmanger.com、universal.iperceptions.com、cdn4.userzoom.com、snap.licdn.com、secure-ds.serving-sys.com、bat.bing.com、ct.pinterest.com、adherent.com などがある
車両位置にアクセスするスマホアプリにも、同様のトラッカー一覧があるのではないかと思う。時間があればアプリを MITM して、はっきり確認してみたい
Android Auto / CarPlay のデータアクセス上の抜け穴を通じてスマホからデータが流出しているのか、車両マイクが会話を能動的に聞いて分析用に送信しているのか、それとも「使用する権利があると書かれているのだから当然収集しようとするはず」という仮定なのかが不明だ
性的活動のようなデータを収集できる方法は、本当に深刻なものしかない。自動車会社をまったく信用していないとしても、そうしたやり方は彼らにとっても一線を越えることのように見える
2018 Jeep Grand Cherokeeを所有していて、内蔵セルラーモデムのSIMカードがどこにあるか探し出して抜いてしまおうとしている。
常時テレメトリーを切ることに関心を持つ人がもっと多くないのは驚きだし、正直なところ、場所を見つけて抜いても車がまともに動かなくなる可能性があっても不思議ではない。
今はWebコミュニティがあまりに分散していて、だいたい「だから何?」という雰囲気だ。メーカー別フォーラムの適切なスレッドを掘れば調査結果の一つ二つは見つかるだろうが、その程度で、どのブランドがこうした作業により協力的なのか比較するのもほぼ不可能だ。
実体験はないが、自動車業界全体の動きが遅いことを考えると、セルラーモデムはCANバスの一つにぶら下がったモジュールで、他のモジュールがブロードキャストするテレメトリーを受け取ったり、要求時にコマンドを注入・照会したりする構造なのではないかと思う。工場整備マニュアルを入手するのがよく、Haynesのマニュアルは今ではほぼゴミだと思っていい。
業界がテック企業式の継続課金モデルへ必死に入り込もうとしている流れとぴったり合う。
「メーカーが性的活動、健康診断データ、遺伝データまで収集する」という部分は、具体的にどう可能なのか説明がないと少し怪しく聞こえる。
Mozillaが収集データが暗号化されているか確認できなかったという部分は、自動車業界のセキュリティ実績を見れば、全部が2005年式の未パッチMySQLデータベースにroot/passwordで保存され、毎晩プレーンテキストCSVを開いたネットワークフォルダへエクスポートしていると仮定してもよさそうだ。みんながそうしていれば業界標準と呼べるからだ。
MercedesMe Connectアプリがプライバシー設定と一部サービスの拒否機能を提供するというのは、すでに買った車の中のあらゆるものをサービスとして売ろうとする人たちが、「上級シート利用中の便サンプル収集が心配なら、車をガレージの飾りにしておいてもいい」と言っているようなものだ。
また、「当該サービスを利用する車両に乗車すると、Nissanによる情報収集および利用に同意したことになる」とされており、「車両のすべてのユーザーと乗員に教育し、知らせることを約束する」とも書かれている。
興味深いことに、Uber / Lyftのような顧客であっても、Nissan車に乗った瞬間、性的活動や遺伝情報および関連する二次分析の収集に同意したと解釈され得るように見える。
いったんデータが結び付けられれば、収集されるものはすべて同じプールに入る。「Johnが運転しているときどこにいるか分かっているから、そのデータを売るか渡し、その代わり彼が訪れる関心サイトの広告データを買うか交換しよう」といった相互取引がどこかで起きているはずだ。
現代では機械式・アナログのものがすべてデジタルや「何かのソフトウェア化」に置き換えられ、製品はサービスへと変わっている。
結局、すべてがインターネットにつながると、すべてが依存的になる。AWSやGoogleのような単一の巨大プロバイダーのシステム障害が、一国の多くの車を止めることもあり得るし、将来はハッカーが国家全体の交通を麻痺させることもあり得る。
寡占・独占構造では、権力者が何をできるか、どこへ行けるかを非常に細かく決められる。個人には反対する力がなく、政府機関も敵対的だったり、巨大企業と戦うには小さすぎたりするかもしれない。
車内カメラは何を検知するのか? 酒に酔っているか、それとももっと多くのことまでか? エラーでさらに多くを録画するのか? 政府向けバックドアはあるのか? 車は音声、動画、生体情報、顔データ、ヘイトスピーチのようなものを収集するのか? どこへ行くのか、なぜその行動をするのかを分析して、広告事業や政府に使うこともできる。
メーカーは規約を定め、より安いモデルではデータを第三者に売れるようにすることもできる。最初は緩和策を取れたり古い車を買えたりするだろうが、結局みんながテクノ封建主義的なソフトウェアパターンを実装すれば、別の生き方を選ぶ方法はなくなる。
一部の車では、これを物理的に無効化できる。たとえば Tacoma には、このすべてを実行して自宅へ連絡するセルラー無線機を備えた Data Communication Module(DCM)がある。
ヒューズボックスのヒューズを抜けば DCM に電源が供給されないようにでき、副作用は車内マイクが止まる程度で、いつでも再接続できる。まるでエンジニアリングチームが監視製品を作りたくなくて、簡単にオフにできる方法を入れておいたかのようだ。
誰かがすべてを統合した立派な スーパーモジュールを出してきたら、その時点で無効化は不可能になるだろうから、期待しないほうがいい。
Toyota は、大きな反発を受けるまで、キーフォブが動作するだけでも月額サブスク料金を取ろうとしたメーカーだ。セルラーやクラウドをまったく使わず、キーフォブと車の間で 100% ローカルに動作するものなのに、そうしようとした。こっそり再挑戦しないとは考えないほうがいい。
その過程で、スピーカーの一部、ラジオ、ワイヤレス Android Auto、マイクといった機能を失う可能性がある。
こういう話を読むほど、23年落ちの Toyota 4Runnerに一生乗ることになりそうだと思う。
スペインでは欧州由来の規則により、2001年以前のガソリン車と2006年以前のディーゼル車が、都市中心部周辺の広い境界内を段階的に通行できなくなっている。
たとえば23年落ちの Toyota 4Runner は、Madrid 中心部と補助進入路付近では汚染がひどすぎる、またはうるさすぎると見なされ、2025年からは中心から直径約23kmの区域全体で走行禁止になる。
私の 2001 Tundra は、スパイ機能のない快適で多用途な生活・作業用車で、都心でも問題なく走り、自分の土地で丸太や鉄材を運ぶときにもよく働く。学齢期の子どもが3人いるが、バンよりトラックのほうがずっといい。
私の好みでは、2015年ごろ以降に作られた車はどれも過剰設計に感じる。
キーフォブも Bluetooth もなく、価格もずっと安かった。
「多くの人は車を、医師に電話したり、子どもと登校途中に個人的な会話をしたりする私的な空間だと考えている」という話は、数年前までは100%正しかったが、技術の進歩と私的データ収集競争が頂点へ向かうにつれ、急速に消えつつあるように思う。
新車で利用規約に同意しなければならず、ディーラーの駐車場を出る前に「規約を更新しました。車のロックを解除するには同意してください」のようなメッセージを見ることになるのではと恐れている。
完全自動運転に到達したら、車のデジタルコックピットやヘッドアップディスプレイに広告が出始める気がする。現在位置、気分、聴いているラジオ局など、何を基にしてもおかしくない。あえて見たい時代ではない。
解決策も進化する必要がありそうだ。最初はテレマティクス ECU(電子制御ユニット)を抜く程度だろうが、そうするとメーカーはその ECU がオフラインだと、運転者を罰するかのように無関係な機能を減らしたりなくしたりするだろう。
その後は、テレマティクスと GPS アンテナのコネクタの間に挟み込み、最小限のデータ、場合によっては偽データだけを ECU に受け取らせる中間者ハードウェアが必要になるかもしれない。その次は、定期的に自宅へ連絡して有効な応答を受け取らなければ正常と判断しない、という方向へ進むだろう。
西側社会に根付いたプライバシー保護の仕組みがなければ、中国の広告技術はすでに洗練度で米国や欧州を超えているのではないか、という思いが強まっている。
問うこと自体がばかばかしく見えるほどだが、比較的プライバシー法が弱い米国でも、これは合法なのか? 多くの州では、車両は法的に住居の延長として扱われる。
そのため、家に適用される法的権利と保護が車両にも適用される。結局、法律文言のどこかに、購入者が自動車会社に監視権限を与えるという条項が隠れているということなのか?
現在われわれが持っている保護の半分は、「EU では法的に必要で、世界中に適用してもコストが低い」という理由で提供されているものだ。