WIREDがあるインテリジェンスに関する記事を公開しました。元記事は長いのでこのブログではその内容を要約してお伝えします。
2019年、科学技術者のMike Yeagley氏はアメリカ国家安全保障局に対し、出会い系アプリであるGrindrなどのアプリの位置データにより、政府職員の機密情報が漏洩する可能性があると警告しました。
Yeagley氏は、ジオフェンシングを使用して機密施設への出入りするモバイルデバイスを追跡することで、国防総省、諜報機関職員のものと思われるデバイスを特定する方法を示しました。これは、モバイル広告会社が収集している膨大な位置データに多大なプライバシーリスクがあることを浮き彫りにしました。
Yeagle氏は、以前、広告の位置データの政府利用に貢献していたため、これらのリスクを熟知していました。防衛関連企業のPlanetRiskに勤務していたYeagley氏は、2016年に商用データを使用して世界中のデバイスの位置を追跡できるLocomotive というツールを開発しました。Locomotive は後にVISRと改名され、諜報活動のために特殊部隊へ提供されました。 他の政府機関も広告の位置データを使用し始めています。
注目すべき点は、デバイスIDが匿名化されていても、個々の動作パターンの特徴から身元が明らかになる可能性があるということです。モバイルアプリが広告をリクエストする際に行われる入札から、膨大な量の位置データが収集されます。UberMediaのような企業はこれを商業的に販売しており、買い手を監視することはほとんどありません。諜報機関は、豊富な位置情報データを傍受する必要はなく、単に購入できることに気が付いたのです。
UberMediaや同様の企業は、頻繁に更新されるデータによりデバイスの位置を長期にわたって追跡でき、ほぼリアルタイムに追跡できるケースもあります。PlanetRiskは、ロシアのプーチン大統領に関する動向を観察することで、大統領の側近のものと思われる携帯電話を特定できることを発見しました。彼らは、以前シリアの秘密基地であった場所にアメリカ特殊部隊が集結していることも発見しています。
ソーシャルエンジニアリングがもたらすリスク
他の政府の諜報機関もこのデータにアクセスできます。報道によると、Insanet、Patternz、Rayzoneといった複数のイスラエル企業は類似したツールを開発し、それらを世界中の国家安全保障や公安組織へ販売しています。イスラエルの新聞ハアレツによると、Rayzoneはターゲット広告によりマルウェアを配信する機能も開発しました。標的を詳細に定めたソーシャルエンジニアリングのリスクがここには存在しています。
お金を払えば誰でも機密性の高い位置データを入手できてしまうことは、プライバシーに対する計り知れない脅威です。世界中の諜報機関は、これを監視のために活用しています。しかし、民間人の個人情報が明らかになる危険性もあり、データの使用方法は不透明で、全く管理もされていません。このような報道があると、スマートフォン用の電波遮断バッグを購入したくなる方もいるかもしれません。
詳細については、WIREDの記事を参照してください。
原典:Stu Sjouwerman著 2024年2月27日発信 https://blog.knowbe4.com/scary-you-knew-about-osint-but-did-you-know-about-adint
