2013年に米国のテレビパーソナリティであるDr. Phil(ドクター・フィル)の妻Robin McGraw(ロビン・マグロー)氏が、ドメスティックバイオレンス(DV)の被害者がひそかに危険な状況を伝えることのできる「Aspire News」というアプリをリリースした。このアプリは被害を受けている人々の命を救う可能性があるとして、すぐに歓迎された。
30万回以上ダウンロードされているというこのアプリは、何でもないニュースアプリのようなデザインながら、DV被害者が友達や家族に虐待や危険を知らせることができる。被害者がアプリ上部のバーを3回タップすると、あらかじめ書いておいたメッセージや録音しておいた音声メモ、被害者の正確な位置情報のテキストメッセージで、信頼できる連絡先に対して被害者が助けを必要としている、あるいは危険な状況にあることを通知する。
ところがセキュリティの不具合により、アップロードされた音声メモが保護されていないクラウドサーバーで公開され、誰でもアクセスできる状態になっていた。
セキュリティ研究者のNoam Rotem(ノーム・ローテム)氏とRan Locar(ラン・ロカー)氏が音声メモが公開されていることを見つけ、報告した。データベースはその後すぐにオフラインになった。ローテム氏とロカー氏はTechCrunchにのみ、発見した音声メモを共有した(vpnMentorブログ)。
クラウドサーバーには2017年9月までの4000件以上の音声メモが保管されていた。メモの長さや特徴はまちまちだが、氏名や住所、電話番号など個人を特定できる情報が含まれているメモもあった。こうした情報は、緊急通報を受ける機関に伝達される可能性があるものだ。
我々が聞いた少なくとも1件のボイスメモには、被害者を虐待している人物の名前が明確に述べられていた。
慎重に取り扱わなければならないデータであるため、我々はアプリユーザーの安全が脅かされる恐れに配慮し、ユーザーには接触していない。
我々はアプリをダウンロードし短い音声メモを録音して、Aspireが保管するデータを確認した。通知を発動させると、クラウドサーバーに保管された録音ファイルにアクセスするためのウェブのアドレスが記載されたテキストメッセージが送られてきた。これは、録音ファイルへの同様のリンクを受け取った人が、完全なリンクを短縮するだけで他の録音を簡単に見つけられるかもしれないということを意味する。
我々はマグロー氏が運営する財団のWhen Georgia Smiledに対し、クラウドサーバーが公開されていた期間はどれぐらいだったか、セキュリティの問題をユーザーに知らせる予定かどうかを問い合わせたが、財団からのコメントは得られなかった。
ドクター・フィルの番組を放送しているCBSの広報にもコメントを求めたが、回答はなかった。
日本語版記事注:
原文では米国のDV通報ホットラインが紹介されているため、日本の相談窓口を記載しておく。
DV相談プラス(内閣府)
0120-279-889で24時間電話受付をしているほか、メールやチャットでも相談できる。また「DV相談ナビ」(0570-0-55210)に電話をかけると、最寄りの配偶者暴力相談支援センターにつながるとのことだ。詳しくは上記のリンク先を参照されたい。
画像クレジット:When Georgia Smiles / Aspire
[原文へ]
(翻訳:Kaori Koyama)