これまでの発表よりもはるかに多い、何百ものAndroidアプリがユーザーの詳細な位置データをX-Mode(エックスモード)に送信していたことが判明した。X-Modeは位置データを米軍の請負業者に売ることで知られているデータブローカーである。
新たな調査によれば、そうしたアプリにはメッセージアプリ、無料の動画、ファイル変換ソフト、さまざまな出会い系サイト、宗教と礼拝用のアプリが含まれている。どれも、これまでに数千万回もダウンロードされているアプリである。
ExpressVPN Digital Security Labの主席調査員Sean O’Brien(ショーン・オブライエン)氏と、Defensive Lab Agency(ディフェンシブ・ラボ・エージェンシー)の共同創設者Esther Onfroy(エスター・オンフロイ)氏は、ここ数年のある期間にX-Modeのトラッキングコードが埋め込まれているAndroidアプリを200近く発見した。
一部のアプリは、つい2020年12月にAppleとGoogleがアプリからX-Modeを削除しないとアプリストアから排除することを開発者に通達した時点でも、まだ位置データをX-Modeに送信し続けていた。
しかし、排除が通達されてから数週間経っても、米国のある交通地図アプリは、依然として位置データをX-Modeに送信していたにも関わらずGoogle Playからダウンロード可能だった。このアプリは人気があり、すでに数十万回もインストールされている。
公開された新たな調査は、X-Modeと連携したアプリについて今までに行われた調査の中で最も大規模なものであると考えられている。通常の携帯電話用アプリから収集された位置データの利用権売買は数十億ドル(数千億円)規模の産業になっており、X-Modeはその産業で商売している数十社の企業の1つである。そうした位置データはたいていターゲティング広告を提供するために使用される。
先に米国諜報機関が商用の位置データの利用権を買い取り、米国人の過去の行動を、令状を取得する前に調査したことが報じられたばかりであるため、X-Modeには、政府の仕事との関係を疑う厳しい調査の目が向けられることになった。
X-Modeは、アプリ開発者にお金を払ってソフトウェア開発キット(SDK)と呼ばれる追跡用コードを使ってもらい、その代わりにユーザーの位置データの収集と引き渡しを請け負う。この追跡に関するユーザーのオプトインは、アプリの利用規約とプライバシーポリシーを承諾することにより成立する。ただし、位置データが最終的にデータブローカーの手に渡る可能性や軍の請負業者に販売される可能性があることを、X-Modeを使用しているすべてのアプリがユーザーに開示しているわけではない。
X-Modeが軍の請負業者(広い意味でとらえると米軍)と関係していることを最初に公表したのはMotherboard(マザーボード)だ。その報告では、世界中で9800万回以上ダウンロードされている有名な礼拝用アプリが詳細な活動データをX-Modeに送信したことが明らかになった。
2020年11月、Motherboardはさらに、これまで報告されていないイスラム教の礼拝用アプリQibla Compass(キブラ・コンパス)がX-Modeにデータを送信していたことを発見した。この発見はオブライエン氏の調査結果でも裏づけられており、さらにいくつものイスラム教徒向けのアプリにX-Modeが組み込まれていることが指摘された。Motherboardは、ネットワークトラフィックを分析することで、そうしたアプリの少なくとも3つはある期間にX-Modeに位置データを送信していたことを確認した。ただし、Google Playにある最新バージョンではすべて改善されている。Motherboardの記事全文はこちらで読むことができる。
2020年、X-Modeの最高経営責任者Josh Anton(ジョシュ・アントン)氏は、CNNに対して、データブローカーは米国で2500万台のデバイスを追跡しており、Motherboardによって指摘されたSDKは約400のアプリで使用されていると説明した。
アントン氏はTechCrunchに次のように語っている。
X-Modeがほとんどの広告用SDKと同じようにモバイルアプリデータを収集していたことを考えると、X-ModeのSDKの排除はエコシステムに大きな影響を与えることになる。AppleとGoogleは、パブリッシャーの大部分が位置データの収集と使用に関する二次的同意を得ていたとしても、モバイルアプリデータの収集と使用に関するいち企業の能力をプラットフォームが決定できるという先例を作った。
最近、当社は、この問題に協力して解決する最善の方法を理解するためにAppleとGoogleに公式文書を送った。命を救うための位置データの使用と、位置データを活用した製品を開発するテックコミュニティの機能強化を両方とも継続して行うためである。当社は、AppleとGoogleが位置データの収集と使用に関して自分たちに当てはめている同じ基準をX-Modeにも適用することが重要であると考えている。
調査員は、X-ModeのSDKを使用しているアプリとの通信が行われたことが判明している新しいエンドポイントも公表した。オブライエン氏は、これが、ユーザーの位置データをX-Modeに送信しているアプリや送信履歴のあるアプリのさらなる発見に役立つことを期待している。
オブライエン氏は「私たちは、こうしたロケーショントラッカーのターゲットになっているかどうかを利用者が識別できるようになることを望んでいる。さらに重要なこととして、こうしたスパイのような行為を止めるよう強く求める。調査員は公共の利益のために調査結果を精査し、プライバシー、セキュリティ、権利への脅威を明らかにする必要がある」と語った。
TechCrunchは、調査結果に含まれていたアプリの中から、ダウンロード数の多い20数個のAndroidアプリを選び、そのネットワークトラフィックを分析した。既知のX-Modeのエンドポイントと通信していたアプリを探し、ある期間に位置データをX-Modeに送信していたアプリを確認するためである。
また、調査員によって特定されているエンドポイントを使用し、X-Modeと通信している可能性がある有名なアプリが他にもないか探すことにした。
その結果、Googleアプリストアの排除から抜け落ちているアプリを少なくとも1つ特定できた。
Googleによって削除される前にGoogle PlayにあったNew York Subway(画像クレジット:TechCrunch)
New York Subway(ニューヨーク・サブウェイ)はニューヨーク市の地下鉄網を案内する人気アプリで、これまでに25万回ダウンロードされ、Sensor Tower(センサー・タワー)によって提供されるデータを使用している。このアプリは、本記事の執筆時点でもまだGoogle Playに掲載されており、アプリストアが排除を通告してから更新されていないため、依然として位置データをX-Modeに送信していた。
アプリを読み込むと、広告、分析、市場調査のためにX-Modeへのデータ送信に同意するようユーザーを求めるスプラッシュスクリーンがすぐに表示されるが、アプリにはX-Modeの政府関係の活動については少しも説明されていなかった。
イスラエルに拠点を置くアプリメーカーDesoline(デソリン)に何度かコメントを求めたが、回答はなかった。ただ、問い合わせを行った少し後にこのメーカーはプライバシーポリシーからX-Modeに関する記載を削除した。本記事の執筆時点では、このアプリはGoogle Playから消えたままである。
Googleの広報担当者は、この会社がGoogle Playからアプリを削除したと説明している。
また、TechCrunchは、調査員が提供しているアプリの一覧を使用して、非常に人気のある2つのアプリMoco(モコ)とVideo MP3 Converterの旧バージョンを発見した。これまで累計1億1500万回以上ダウンロードされているが、いまだにユーザーの位置データをX-Modeに送信している。Google Play以外からAndroidアプリをインストールし、データをX-Modeに送信する古いアプリを実行しているユーザーにプライバシーリスクをもたらしている。
どちらのアプリメーカーにもコメントを求めたが回答はなかった。Googleは、同様の問題がある他のアプリが削除されたかどうかや、位置データをX-Modeに送信する古いバージョンのアプリを実行しているユーザーを保護するためにどんな対策を講じるかを、たとえその方法があるとしても説明しないだろう。
AppleのiOS用の対応するアプリや同じ名称のアプリについても調査したが、X-Modeのエンドポイントとの通信が検出されたものは1つもなかった。Appleに問い合わせたところ、排除を実施した後にいずれかのアプリをブロックしたかどうかについてのコメントは拒否された。
オブライエン氏は「スマートフォンのセンサーは、不当に利用すれば、私たちの活動、自由な表現、自主性を制限しかねない多くのデータを提供している。位置データの密かな収集は、人権に関わる重大な脅威をおよぼしている。生活の中で特にセンシティブな部分や、誰と一緒にいるかといったことを観察できるからだ」と語る。
最近公開された調査によって、一般的なスマートフォンアプリから何百万もの米国人の個人データが(ほとんどの場合、ユーザーの明示的な同意なく)収集・販売されている方法に関する新たな事実が明らかになる可能性がある。
米政府の監視機関は現在、事前に令状を取得することなくさまざまなデータブローカーから位置データを買い取って使用することに関して、米内国歳入庁(IRS)や米国土安全保障省(DHS)をはじめとするいくつかの連邦政府機関に対して捜査を行っている。先週、国防情報局の諜報分析官が米国人の位置データを保存している商用データベースの利用権を購入したことが明らかになった。
評論家は、政府が2018年の最高裁判決の抜け穴を使っていると指摘している。その判決は、法執行機関が令状なしで携帯通信会社から直接、携帯電話の位置データを取得することを禁止するものだった。
現在、政府は、ブローカーから直接購入できるものに対して令状が必要だとは考えていないという見解を示している。
厳しいプライバシー評論家として知られるRon Wyden(ロン・ワイデン)上院議員の事務所では以前、データブローカー産業について詳しく調べ、データブローカーを取り締まって罰金を科すために連邦取引委員会に新たな権限を付与する法律を過去に草案したことがある。
ワイデン氏は「米国人は位置データがクレジットカードと一緒にデータブローカーから誰かに売られている話にうんざりしている。業界の自主規制が機能していないのは明らかだ。連邦議会は、私が提出した『Mind Your Own Business Act』のような強力な法案を通して、データの販売を防ぐのに効果がある方法を利用者に提供し、米国人のプライバシーを侵害した企業に説明責任を求める権限を連邦取引委員会に与える必要がある」と語る。
関連記事:ジャーナリスト36人以上のiPhoneが「ゼロクリック」スパイウェアにハックされていたことが発覚
画像クレジット:Bryce Durbin / TechCrunch
[原文へ]
(文:Zack Whittaker、翻訳:Dragonfly)