米国国家安全保障局(NSA)は位置情報トラッキングにおけるリスクを警告している。取得される位置情報データを減らすためのヒントを紹介する。
この記事は、ESETが運営するマルウェアやセキュリティに関する情報サイト「Welivesecurity」の記事を翻訳したものである。
NSAはスマートフォン(以下、スマホ)やIoTデバイス、ソーシャルメディア、モバイルアプリ使用時の位置情報トラッキングによるリスク低減のためのガイダンスを公開した。これは軍や諜報機関の関係者向けに用意されたものだが、位置情報トラッキングを制限したい人にとっても役に立つ情報だ。
NSAはこう述べている。──「位置情報は非常に価値が高いもので、かつ保護しなければならないものだ。また位置情報は、特定の場所にいる人の数をはじめ、人や物資の移動経路、日常の行動(個人や組織)などを明らかにし、本来は知られてはならない人と位置情報の関連性をさらけ出してしまう。」
ガイダンスでは、スマホをよく利用しているか否かに関わらず、電源がオンになってさえいれば、常に位置情報が公開されていると記載されている。「モバイルデバイスは常に通信会社とその回線を信頼しており、スマホが回線に接続するたびにリアルタイムの位置情報を取得している。つまり、通信会社は広域にわたってユーザーの追跡が可能なことを意味する。」
関連文書によると、たとえGPSや電話サービスをオフラインまたは無効にしたとしても、仕事を行うためにWi-FiやBluetoothに接続していると位置情報が明らかになるという。これにより、ユーザーがワイヤレス接続を使っていない場合でも、攻撃者はワイヤレススニファー(パケットをモニタリングするツール)などを悪用してユーザーの位置を追跡できる可能性があるとNSAは指摘している。
また、NSAは「覚えておくべき最も重要なことは、モバイルデバイスの位置情報サービスを無効にしてもGPSがオフになるわけではなく、位置情報が公開されるリスクが大幅に軽減されるわけではないということだ。位置情報サービスの無効化は、アプリによるGPSや位置情報へのアクセスを制限するだけである。」と述べ、位置情報サービスとGPSを区別する必要性も強調している。
スマホだけではない?
これらはスマホに限ったことではない。IoTデバイスやフィットネストラッカー、医療機器、スマートホームデバイスなど、ワイヤレス通信を行う機器であればすべて同様のリスクが生じる。これらの機器のほとんどがワイヤレス機能をオフにする機能を持っていないため、これらを使用しながら位置情報の安全性を確保するのは容易ではない。実際のところ、IoTデバイスのプライバシーとセキュリティについては改善を望む声も多い。
またNSAは、多くのモバイルアプリが必要性のない位置情報へのアクセス権限をユーザーに要求していることにも言及しており、「アプリストアで承認されたアプリであっても、ユーザーの位置情報を収集・集積し、送信する可能性がある。」と述べている。ESETのチーフ・セキュリティ・エバンジェリストであるトニー・アンスコム(Tony Anscombe)は、最近この問題について詳しく論じている。
位置情報に関するリスクを軽減する方法
「位置情報の漏えいを完全に防ぐことは不可能かもしれないが、アプリの設定と使用方法を考慮することで取得される情報量を減らすことができる。」とNSAは述べている。取得される位置情報の量を制限し、トラッキングによるリスクを軽減するための方法は下記のとおりだ。
- デバイスの位置サービス設定を無効にする。
- 使用していない時はすべてのワイヤレス通信機能(BluetoothやWi-Fi)を無効にする。
- 位置情報を隠すためにVPN(バーチャル・プライベート・ネットワーク)を使用する。
- アプリに与える権限は必要最小限にとどめる。
- ソーシャルメディアに投稿する内容に気を付ける。例えば、写真に含まれるメタデータに位置情報が含まれている可能性がある。