- New JerseyのDaniel’s Law訴訟は、アプリ・Webサイトの広告データが商用サービスとして集約され、かつては国家機関級の監視と見なされていた個人の移動追跡を民間顧客でも利用できることを明らかにした
- Babel StreetのLocateXは、地図上で特定の場所を多角形で指定して、そこに出入りしたモバイル端末の数日遅れの移動履歴を表示し、MAIDで個別端末を追跡できる
- Atlas Data Privacyが雇った調査員は、2週間の無料トライアルアカウントだけで、New Jerseyの警察官、裁判の陪審員候補、中絶クリニックの来訪者・職員など機微な対象の位置を追跡できた
- 位置データはアプリ権限、広告入札リクエスト、リアルタイム入札ネットワークを経て拡散し、Atlasは年間1万〜5万ドルで数十億〜数百億件のデータポイントにアクセス可能だとみている
- AndroidとiOSはいずれも広告ID・位置権限を制限できるが、家族や同僚の端末が追跡されると、近くにいる人の位置まで推測されうる
Daniel’s Law訴訟とBabel Street LocateX
- Delaware拠点の**Atlas Data Privacy Corp.**は、消費者向けデータブローカーやオンライン人物検索サービスから個人情報を削除する支援を行う企業である
- Atlasは2024年、New Jerseyの法執行関係者2万人超を含む顧客集団を代表して、151社の消費者データブローカーを相手取り訴訟を起こした
- 争点は、データブローカー各社がDaniel’s Lawに繰り返し違反したかどうかである
- Daniel’s Lawは、New Jerseyの法執行・政府職員、裁判官とその家族が、商用データブローカーから自身の情報を完全に削除させることを認める法律である
- この法律は、連邦判事を狙った襲撃でその息子Daniel Anderlが死亡したことを受け、2020年に成立した
- Atlasは先週、Virginia州Restonに法人を置く技術企業Babel Streetを相手に、Daniel’s Lawに基づく訴訟を提起した
- Babel Streetの中核製品は、世界地図上のほぼあらゆる場所の周囲にデジタル多角形を描き、その区域を出入りしたモバイル端末の数日遅れの時系列記録を表示するものだ
LocateXの追跡方式
- Babel StreetのLocateXは、Google AndroidとApple端末に組み込まれた一意の英数字識別子である**Mobile Advertising ID(MAID)**により、個々のモバイル利用者を追跡できる
- この機能は、複数のWebサイトやアプリが収集した位置データと識別情報を利用する
- その情報は、特定利用者に広告を表示しようとする数十〜数百の広告ネットワークへ送信されうる
- Atlasが雇った私立調査員はBabel Streetの無料トライアルを提案され、これを使って、すでに嫌がらせや殺害脅迫を受けていたNew Jerseyの警察官一家の自宅住所や日常の移動を把握できたという
- 調査員は、Babel Streetが人物検索サービスをプラットフォームに束ねて提供しており、顧客が特定端末をより簡単に絞り込めることも確認した
- Babel Streetの営業担当者は、サービスは政府または「政府契約者」にのみ提供されると述べたが、調査員が今後政府契約の仕事を検討していると話すと、「それで十分だ」「実際には確認しない」と応じたとAtlasは述べている
令状なし監視につながりうる事例
- Atlasの調査員は、Babel Streetの試用期間中に、モスク、シナゴーグ、裁判所、中絶クリニックのような高リスク施設の来訪者情報を見つけられたという
- ある動画では、New Jerseyの裁判所で陪審員専用駐車場にあったモバイル端末を切り分け、陪審員と思われる人物の携帯電話を数日間にわたって自宅住所まで追跡する過程が示されている
- LocateXは、対象の自宅住所や職場周辺にデジタル多角形を描き、毎日その住所を通過した端末だけを抽出できる
- Babel Street固有の機能の1つであるnight modeは、対象が毎晩とどまる場所を数メートル単位で把握しやすくする
- LocateXの利用規約は、この製品が令状、召喚状、その他の法的・行政的措置など、いかなる国の法的手続きの根拠としても使用できないとしている
- New Jersey州Rahwayの警察官Scott Maloneyは、刑事捜査で人を追跡するには裁判官の令状が必要であり、データブローカーが同意なく家族の情報を追跡して販売する状況は非常に不快だと語った
Maloney夫妻の事例とアプリ位置データ
- Atlasの原告であるScott MaloneyとJustyna Maloneyは、NJ州Rahwayの警察官で、2人の子どもと暮らしている
- 訴状によると、2023年4月、JustynaがMotor Vehicle Commissionの外で人々を撮影していた男性に関する一般通報に対応した後、選択的に編集された動画が拡散され、夫妻の自宅住所と非公開電話番号がオンラインに掲載された
- その後夫妻は、金銭要求、「血で償うことになる」という殺害脅迫、家族の首を切るという内容の銃器脅迫動画などを受けたという
- 数週間後、近隣住民がスキーマスクを着けた不審者らが家の近くに駐車しているのを見て警察に通報し、近隣住宅の監視映像には、彼らがMaloney家周辺を徘徊する様子が映っていた
- 出動した警察は、違法銃器所持の疑いで武装した男性2人を逮捕した
- Atlasの調査員は、ScottのiPhoneをBabel Street上で確定的には見つけられなかったが、Justynaの端末は特定できたという
- Babel Streetには数か月分にわたりJustynaの携帯電話に関するhitがほぼ10万件あり、これにより日常の移動や他者との接触を再構成できた
- JustynaのiPhoneで位置データを使っていた唯一のアプリは、百貨店Macy’sのアプリだった
- Macy’sは、アプリには位置ベースの強化されたショッピング体験のためのopt-in機能があり、顧客の位置情報は保存せず、限られた数のパートナーと位置データを共有するが、Babel Streetとの関係はないと回答した
- 特定個人の端末が直接識別されなくても、家族の端末が識別されれば、他の人の位置も容易に推測できる
広告入札データとMAIDエコシステム
- MAIDはもともと、電話番号やメールアドレスのような個人識別情報なしにモバイル顧客を区別するための一意識別子として設計された
- 現在では、MAIDを過去情報や個人情報で「補強」した大規模リストを作るマーケティング・広告企業の業界が存在する
- Atlasの調査員は、New Jerseyの法執行関係の顧客について、補強済みMAID記録を見つけられるか確認し、それを販売しようとする広告データブローカーを多数見つけたという
- 一部の販売者は、氏名、MAID、メールアドレスのような限定的な項目だけを提供する
- 他のブローカーは、ソーシャルメディアプロフィール、正確なGPS座標、推定消費者カテゴリまで含む、より詳細な記録を販売している
- MAIDデータの出所には、AccuWeather, GasBuddy, Grindr, MyFitnessPalのようなアプリが含まれうる。これらのアプリはMAIDと位置情報を収集し、ブローカーに販売できる
- 広告入りのWebページをスマートフォンで閲覧するだけでも、MAIDプロフィールと位置データが共有されうる
- 広告が読み込まれる前の数ミリ秒の間に、Webサイトは広告取引所へbid requestを送り、そこには利用者の正確な位置が含まれることがある
- 現在の公開標準はOpenRTBにまとめられている
- 中核的なリスクは、bidstreamデータが世界中の数百の主体に平文で同時送信され、事実上だれでもアクセス可能になっている点だ
ドイツのデータセットとSEC来訪者研究
- ドイツのメディアnetzpolitik.orgは、2024年初めに36億件超のデータポイントを含むbidstreamデータセットを購入し、BR24と共有した
- 両メディアは、無料トライアルで得たデータだけでも、ドイツ全土で数百万人の移動プロファイルを構築できたと結論づけた
- Politicoが取り上げた研究では、New Hampshire、Kentucky、St. Louisの大学研究者が入手したモバイル広告データを用いて、SEC調査官の訪問と、内部者による調査公表前の株式売却を結びつけられることが示された
- 研究者らは、同じ方法で他機関の規制当局者を追跡したわけではないが、事実上だれにでも可能だと述べている
- Georgetown Law Center for Privacy and TechnologyのJustin Shermanは、企業が米国人の位置データを自由に収集し、望む価格で販売すると何が起きるかを示す事例だと評価した
中絶関連の位置追跡への懸念
- 2022年の米連邦最高裁によるDobbs判決は、連邦レベルの中絶の権利を覆し、その後14州が厳格な中絶禁止を実施した
- 2023年5月、The Wall Street Journalは、Wisconsinのある中絶反対団体が正確な位置データを使い、中絶を求めていると疑われる女性に広告を送っていたと報じた
- 現在、中絶反対団体がbidstreamデータを購入したり、Babel Streetのようなプラットフォームのアクセス権を借りて中絶クリニックをジオフェンシングし、その場所を行き来するモバイル端末をあぶり出したりするのを防ぐ仕組みはほとんどない
- Atlasの調査員は、中絶クリニックをジオフェンシングして職員と思われる人物を特定し、その人物の自宅住所や毎日の通勤経路を追跡できたという
- また、Alabamaの自宅から、中絶が合法なFlorida州Tallahasseeのクリニックまで移動し、数時間後に戻った人物をBabel Streetで特定・追跡したという
- EFFのEva Galperinは、中絶のために州境を越える人々を標的にした広範な監視に強い懸念を示した
AndroidとiPhoneの違い
- Atlasは通常、年間1万〜5万ドルで、ブローカー各社が米国および世界各地の人口をカバーする数百億件のデータポイントへのアクセス権を提供できるとみている
- Atlasが確保したデータセットには古いMAID記録が多く含まれており、それをもとにAndroid端末の約80%、Appleの携帯電話の約**25%**を位置特定できると推定している
- GoogleはMAIDをAndroid Advertising ID(AAID)、Appleは**Identifier for Advertisers(IDFA)**と呼んでいる
- Appleは2021年4月、iOS 14.5で**App Tracking Transparency(ATT)**を導入し、アプリがIDFAやその他の識別子でユーザーを追跡する前に明示的な同意を求めることを義務づけた
- ATTの導入は広告市場に大きな影響を与え、FacebookはこのiPhoneのプライバシー機能により2022年の売上が約100億ドル減少する見込みだと述べたことがある
- Googleの広告取引所AdXは、米市場の47%、世界全体の56%を支配していると米司法省は推定している
- Androidは世界のモバイルOS市場の72%以上を占め、米国ではiPhone利用者が約55%を占める
GoogleとAppleの立場
- Googleは、Babel Streetにリアルタイム入札リクエストを送っておらず、入札リクエストで正確な位置データも共有していないと述べた
- ポリシー上、リアルタイム入札データの販売や広告以外の目的での利用を明示的に禁止しているという
- Googleは、MAIDはランダム生成であり、IPアドレス、GPS座標、その他の位置データを含まず、広告システムがだれの正確な位置データも共有しないと説明した
- Androidには、アプリの端末位置アクセスを管理し、広告IDをリセットまたは削除できる制御機能がある
- Appleは、端末でLocation Servicesはデフォルトで有効になっておらず、利用者が位置情報サービスを有効にし、各アプリ・Webサイトに権限を与えなければ位置データは使われないと述べた
- Apple利用者は位置情報サービスをいつでも無効化でき、アプリごとの位置アクセス権限も変更できる
- 選択肢には正確な位置、大まかな位置、1回限りの位置アクセス許可が含まれる
- SilentPushのZach Edwardsは、AppleとGoogleがモバイル広告IDの仕組みを恒久的に停止し、この技術がグローバルなデータブローカー生態系を支えてきたことを認めるまで、プライバシーリスクは残ると述べた
州単位の法対応と憲法上の争点
- Bloomberg Lawによると、2019〜2023年の間に連邦判事への脅威は2倍超に増加した
- 敵対的な政治捜査や政府関係者に対する陰謀論の増加を受け、複数州がDaniel’s Lawに類似した法律を進めている
- West Virginiaの退職警察官は、2021年成立のDaniel’s Law類似の州法違反を理由に、人物検索サービスWhitepagesに対する集団訴訟を提起した
- Marylandは2024年5月、Judge Andrew F. Wilkinson Judicial Security Actを成立させた
- この法律は、殺害された郡巡回裁判所判事Andrew F. Wilkinsonの名を冠している
- 現職・元職のMaryland州司法関係者が、自身の個人情報を公開しないよう求められるようにする
- 個人情報には、自宅住所、電話番号、メールアドレス、Social Security numberまたは連邦納税者番号、銀行・カード番号、車両識別子、出生・婚姻記録、子どもの氏名・学校・保育施設、礼拝場所、配偶者・子ども・扶養家族の勤務先が含まれうる
- Troutman Pepperは、2024年に37州が司法関係者と、一部州では法執行に関わる政府職員を保護する同様のプライバシー法案を検討または採択したと記している
- Atlasは、LexisNexisがNew Jerseyの法執行関係顧客からのデータ削除要請に対応して、約1万8,500人の信用を凍結し、彼らを身元盗用被害者として虚偽報告したと主張している
- データブローカー業界は、Atlasの訴訟のうち少なくとも70件を連邦裁判所へ移し、New Jersey州法は過度に広範であり、合衆国憲法修正第1条に違反すると争っている
- 担当判事は却下申立てについて数週間以内に判断する見通しで、結果にかかわらず、この決定は米連邦最高裁まで上訴される可能性が高い
- メディア法の専門家は、他州でDaniel’s Lawが導入されれば、報道機関が公職者を監視する能力を制限し、人物検索業界の情報源となる公的・政府記録を報じたメディアが刑事処罰の対象になりうると懸念している
議会不在とデータブローカー規制
- Sen. Ron Wydenは、議会がデータブローカーを規制できず、行政が法執行機関向けデータ販売を制限する超党派法案に継続して反対してきたことが、現在のプライバシー危機を生んだと述べた
- Wydenは、位置データが性的少数者の米国人を識別・暴露したり、生殖医療を受けるため州境を越える人を追跡したりするのに使われうると警告した
- データブローカーが米国人の最も深い秘密を数ドルで売り、深刻な被害にさらしている点もWydenの批判対象となっている
- Wydenは、GoogleがAppleのように企業による携帯電話追跡能力を除去しなかった点にも責任があるとみている
- Justin Shermanは、データブローカー業界とモバイル広告業界は匿名化やアクセス制限、位置データから可能な推論の限界を語るが、実際には虐待被害者、健康状態、宗教的信念、陪審員、容疑者宅を訪れる法執行官、情報機関職員とその接触者まで推論可能だと述べた
利用者ができる設定変更
- プライバシー専門家は、端末のMAIDを無効化または削除しても携帯電話の動作には影響せず、その端末でのターゲティング広告は大幅に減る可能性があるとみている
- Androidでは、SettingsアプリでLocation > App Permissionsに進むと、位置権限を持つアプリを確認できる
Allowed all the timeが最も広い権限である
- 次に
Allowed only while in use、Ask every time、Not allowedの順となる
- Android利用者は、Settings > Privacy > AdsでDelete advertising IDを押すことで広告IDを恒久的に削除できる
- EFFによると、こうすると以後その携帯電話上のどのアプリも広告IDにアクセスできなくなる
- iOSはデフォルトで、アプリが端末のIDFAにアクセスする前に許可を求める
- 新しいアプリをインストールした際に追跡許可を求めるメッセージが出たら、
Ask App Not to Trackを選べる
Allow apps to request to trackスイッチをオフにすると、アプリは追跡許可を求められなくなる
- Apple独自のターゲティング広告システムは、IDFAベースのサードパーティ追跡とは別である
- Settings > Privacy > Apple AdvertisingでPersonalized Adsをオフにする必要がある
- 家族や友人のITサポート役を担う人は、周囲の人の端末でも追跡を無効にし、位置共有が24時間有効なアプリを無効化したほうがよい
- 自分の端末が広告データで直接追跡されていなくても、近くにいる人の端末が追跡されれば、自分の位置も推測されうる
1件のコメント
Hacker News の意見
警察がこのデータにアクセスしてよいのか、アクセス方法や理由にどのような規制を設けるべきかは議論できる
プライバシーと安全に対する文化的な期待は異なるので、唯一の正解はないだろうが、今のように規制がゼロの状態が正しいとは言えない
お金さえ払えば誰でも他人の超高解像度の位置データを集められるというのは、本当にあり得ない
街中で無料の野球チケットが手に入ったとき、一緒に行く友人を探す、といった形で宣伝していたが、端末が自分の位置を知っているという事実に人々が怖がり、完全に失敗した
Nextel も配送会社向けの企業用追跡アプリを出し、車両の位置や停車時間を監視できるようにしたが、ある会社は従業員の反発で導入を取りやめ、別の会社は導入後に従業員がプライバシー侵害で訴訟を起こし、数カ月で撤去した
昔はこういうものを望んでいなかったのに、今では民間企業にあらゆる個人情報をそのまま渡す方向に変わったのが奇妙に感じる
携帯電話データが第三者に売られるという概念に初めて触れたのは、2003年にチェコへ行ったときだった
オーストリア国境を越えた途端、米国の携帯電話にスパム SMS が届き始め、最初は現地通信事業者からの歓迎メッセージ、数分後には T-Mobile のローミング案内、その次にはホテル・レストラン・カジノの広告が続いた
「スマートフォン」以前の時代でもそうだったのだから、今ははるかに悪化していても驚きではない
追加のスパムはなかったが、国境近くで複数の国の信号を受ける技術的問題は、かなり「面白い」課題だと初めて思った
Babel Street の「夜間」モードは、対象者が毎晩たいていどこで寝ているかを数メートル単位で突き止めやすくする
とくに法執行機関を含め、誰かがこのような夜間位置推定機能を必要とする理由はほとんどなく、思い浮かぶ理由もどれもかなり暗いものに感じられる
容疑者が眠っていると分かれば、警察が銃撃される可能性がずっと低くなるからだ
ただし、この情報は事件の立証と直接関係するものではなく、戦術的にのみ関係しており、戦略的には無関係だ
だから、合衆国憲法修正第4条以上の仕組みが必要なのか疑問に思う
素朴に考えれば、事件立証の証拠として使えない情報なら、法執行機関もアクセスできるべきではなく、おそらく誰もアクセスすべきではないと思う
Pi-Hole を使って設定すればよい
Pi-Hole の設定: https://jeffmorhous.com/block-ads-for-your-entire-network-wi...
YouTube のほうが楽な人向けの動画: https://www.youtube.com/watch?v=eCA24qJBG8Q
そのような VPN を使っても、Android と iOS のセルラーネットワークインターフェースは組み込みの代替経路を維持し続ける
ここに Pi-Hole と LAN 設定、DoH まで考えるとさらに複雑になる
Krebs と彼が引用した人々が言うように、Apple と Google は MAID を完全に廃止すべき時期だ
それでも親コメントをダウンボートせず、信頼できる広告ブロッカーは可能な限りあらゆる場所で使うべきだ
Google 広告関連の仕事をしていた人と話したが、この種の追跡はそこで使っていないと断言していた
しかし、こうした会社の内部でも、自分たちが行っている追跡レベルを隠そうとするだろう
防ぐには、企業が収集したデータによって起きたことに責任を負わせる必要がある
売られたものであれ、盗まれたものであれ、渡されたものであれ、会社が集めたデータが不適切に使われたなら、その収集会社が代償を払うべきだ
大企業も政府組織もみなデータが好きだ
テクノロジーや金融のような産業、そして今後計画されている統治、つまりテクノクラシーもその上に成り立っている
結局、データ収集はすでに計画の中に組み込まれており、個人がその事実を知れるかどうかだけが残っている
さまざまなスキャンダルで、どれほど多くの人が最初から知っていたのか、乱用や犯罪が報告されたり反対されたりするより、隠蔽されたり利用されたりする頻度を見れば、悪意はごく平凡に見える
「悪が勝利するために必要な唯一の条件は、善良な人々が何もしないことだ」
会社は結局、人々の集団なのだから、人々が「会社」に反社会的なことをさせないよう、より強いインセンティブが必要なのかもしれない
少なくとも役員にはそうであるべきだ
会社が隠しているのかもしれないし、人々が自分自身に嘘をついているのかもしれない
十分に賢い人たちなのだから突き止められるはずだが、ある時点からは意図的な無知になる
時間がたつにつれ、唯一の解決策はこうしたデータの保有そのものを犯罪化し、発見時に法定損害賠償を請求できる手続きを作ることだと、より明らかになっていくと思う
著作権音楽の共有に、実際の損害額算定なしで自動的に損害賠償が付く音楽業界の先例がある
その手続きには、故意と誤使用を区別する合理的な仕組みもすでにある
そうすれば、成功報酬ベースで証拠を見つけ出す産業が生まれるだろう
Xoogler(元Google社員)だった(2011〜2018年)
かつて、アプリが位置情報を要求したら偽の位置データを渡すようにして、ユーザーがアプリに「嘘」をつきやすくするアイデアを提案したことがある
そうすれば、匿名性に関する本当の顧客の選択権を守れたはずだった
そのアイデアへの反応から、インセンティブについて多くを学んだ
NDAのようなものに縛られていないなら話してほしい
広告は結局、あらゆるエコシステムを感染させるウイルスだ
よく知られた大企業と競争できるよう、小さな会社を助けてくれるからだ
だが、誰にもこのレベルのデータは必要ない
広告主に必要なのは、ユーザーがGoogleで靴を検索したら靴の広告を見せる程度のことだ
そうしたコンテキスト広告は良い広告であり、ときにはユーザーにとっても役に立つ
Webやアプリの広告が悪意ある目的に使われるのは、現金やほとんどあらゆるものが悪意ある目的にも使われるのと似ている
規制はそうした被害を減らそうとする試みだが、結局は人間の悪意を間接的に扱うための仕組みにすぎない
こうした狂ったレベルの細かな追跡を、実際の結果に即して呼ぶならストーキングであり、犯罪にすべきだ
現代の時代精神が無慈悲さの格差に支配されているのなら、「広告」と追跡業界で働く人々の個人情報と、彼らが監視技術で盗み見た内容も公開データベースに載せるべきだ
Google Glassの優れた活用法が一つあるとすれば、監視者を監視することかもしれない
AppleがIDFAを廃止した後、iOSでこれがどう機能しているのか気になる
特定アプリの広告ID(MAID)はそのアプリにしか関係しないものなので、プロファイリングには役に立たなそうだし、iOSでアプリが他の識別子にアクセスする方法もよく分からない
Wi-FiのMACアドレスもランダム化されている
さらに一歩進んで、アプリの位置情報アクセスをオフにし、グローバルな広告IDも無効化していたなら、記事で説明されている検索は難しそうだ
記事に出てくる「Apple製スマートフォンの25%」とは、IDFA廃止前の古いiOSを使っているレガシーデバイスを指しているのだろうか?
この報告書はむしろ、Appleがその決定の効果について行ってきた主張を裏付けているようだ