「約30億台のデバイスをリアルタイムで追跡できる」と主張する政府の請負企業が諜報機関のCIAとNSAをスパイするデモを披露

近年では大手通信キャリアによるスマートフォンの位置情報の販売が問題視されており、スマートフォンアプリを通じた位置情報の収集・販売もプライバシー上の懸念を提起しています。そんな中、「約30億台のデバイスをリアルタイムで追跡できる」と主張する政府の請負企業・Anomaly Six(A6)が、自社製品のプレゼンテーションでアメリカの中央情報局(CIA)や国家安全保障局(NSA)の職員、ロシア軍の配備、中国の原子力潜水艦などを追跡できることを示したと、ニュースサイトのThe Interceptが報じました。

Anomaly Six Demo’d Surveillance Powers by Spying on CIA
https://theintercept.com/2022/04/22/anomaly-six-phone-tracking-zignal-surveillance-cia-nsa/

アメリカ・バージニア州に本拠を置くAnomaly Sixは、2018年に元アメリカ軍諜報員のブレンダン・ハフ氏とジェフリー・ハインツ氏が設立したスマートフォンの位置情報販売企業ですが、ウェブサイトでもほとんど情報を公開していません。しかし、2020年9月にアメリカ特殊作戦軍(SOCOM)が58万9500ドル(約6200万円)で1年間のアクセス権を購入するなど、アメリカ政府の請負業者として実績を積み上げています。

The Interceptが匿名の情報提供者から入手したプレゼンテーション記録の中で、Anomaly Sixは約30億台のデバイスをリアルタイムで追跡できると主張しています。Anomaly Sixは数千ものスマートフォンアプリに使用されているソフトウェア開発キット(SDK)を通じて、それぞれのデバイスについてGPS位置情報を1日につき30～60回ほど収集し、年間約2.5兆ものデータポイントを生成しているそうです。また、スマートフォンアプリに登録する際に使われた電子メールやその他の個人情報ライブラリも構築しているとのことで、Anomaly Sixのブレンドン・クラーク氏はプレゼンテーションの中で、「ユーザーはおそらく60ページに及ぶ使用許諾契約書を読まず、すべてに同意してデータを送信しています」と述べています。

Anomaly Sixの活用方法としては、Twitterに投稿された大量のツイート情報をリアルタイムで取得できる「Firehose」というサービスを利用するソーシャルメディア監視企業・Zignal Labsの製品と組み合わせ、特定のツイートを送信した人、送信した場所、一緒にいた人、ツイート送信前にいた場所、ツイート送信後に行った場所などを追跡できると紹介されています。なお、Twitterはプラットフォームを通じた第三者による監視や情報収集を禁止していますが、Zignal Labsの広報担当者はThe Interceptの問い合わせに対し、「Zignalはデータパートナーによって定められたプライバシー法とガイドラインを遵守しています」と回答しました。

Anomaly Sixのソフトウェアを使用する顧客は、便利で直感的なGoogleマップスタイルの衛星画像上に、追跡しているスマートフォンを表示することができるとのこと。ユーザーが「ここを出入りするスマートフォンを追跡したい」と考える地点を囲むと、Anomaly Sixはその領域を通過したスマートフォンをドットで表示し、ドットをクリックするとスマートフォンの移動経路を全世界にわたり見ることができるそうです。

クラーク氏はこの機能を使うことで「ロシア軍兵士の動きを軍事施設から自宅まで追跡できる」と説明したほか、「ロシアの民間軍事会社であるワグナー・グループの動きを追跡する」というデモンストレーションを行っています。方法は簡単で、まず衛星画像からロシア南部のモルキンにあるワグナー・グループの拠点を見つけ、その施設を出入りしたスマートフォンを追跡するだけ。クラーク氏は、ワグナー・グループのメンバーのものとみられるスマートフォンが移動する様子を見ることで、ロシアによる非公式な軍事配備をチェックできると主張。「これらのスマートフォンが、リビアやコンゴ共和国などのロシアがソフトパワーを発揮する可能性のある地域に行った場合、その活動をよりよく理解することができるのです」と述べました。

さらにAnomaly Sixは、「アメリカの諜報機関であるCIAをNSA職員のスマートフォンをスパイする」という、他の企業がやらなかったようなデモンストレーションまで行っています。「私は身内の人々をからかうのが好きです」と述べたクラーク氏は、衛星マップ上でメリーランド州フォートミードのNSA本部とバージニア州ラングレーのCIA本部を表示し、これらの周囲を四角で囲んだとのこと。すると、両機関を訪問した183ものスマートフォンがドットで表示されて追跡可能になったとのことで、クラーク氏は「もし私が外国の諜報員なら、これは183の調査出発点となります」と話したそうです。

実際にNSAを訪れた1つのドットをクリックすると、その人物が移動した場所が1年前からプレゼンテーション当時に至るまで追跡でき、ヨルダンのムワッファク・サルティ空軍基地から車で1時間の訓練センターを訪れたことまで突き止められたとのこと。「私が外国の諜報員なら、CIAやNSAの機関や駐屯地にアクセスすることはできませんが、その人たちがどこに住んでおり、どこに旅行し、いつ国外に出るのかを知ることができるのです」とクラーク氏は述べました。

さらにクラーク氏は、アメリカ海軍の船舶に乗った兵士のスマートフォンから船の位置情報を表示してみせました。そして最後に、「中国の原子力潜水艦」とされるものに乗ったスマートフォンの位置情報を表示し、一連のデモンストレーションを締めくくったとのことです。

また、Anomaly SixのGPSデータ自体は個人情報を含んでいないものの、ソフトウェアに搭載されている「規則性」という機能を使ってターゲットを分析することが可能だそうです。この機能は、スマートフォンが頻繁に訪れる場所を自動で分析し、どこに住んでいるのか、どこで働いているのかを推測するとのこと。アメリカ自由人権協会のスピーチ・プライバシー・テクノロジープロジェクトの副ディレクターであるネイト・ウェスラー氏は、「携帯電話の位置データ収集および販売は氏名ではなくデバイスのID番号に紐付いているため、プライバシーを侵害しないと業界は繰り返し主張してきました。この機能は、その主張がいかに安易なものかを証明しています。24時間365日その人の動きを追うことで、その人がどこに住んでおり、どこで働き、誰と時間を過ごし、そして誰なのかがわかります」と述べました。

The Interceptは、Anomaly Sixがプレゼンテーションで主張するデータ収集能力について検証することはできませんでしたが、プライバシー研究者のザック・エドワーズ氏は、こうした企業はデータ品質を誇張する傾向があると述べ、Anomaly Sixが自社の能力について大風呂敷を広げている可能性があると指摘。また、モバイルセキュリティ研究者のウィル・ストラファッハ氏もエドワーズ氏に同意し、「この主張は懸念されるものですが、他の企業の野心的な主張とそれほどかけ離れているわけではありません」とコメント。一方で、アプリデータ業界の専門家であるウルフィー・クリストル氏は、たとえAnomaly Sixの能力が誇張されていたり不正確なデータに基づいていたりしたとしても、個人のプライバシーの観点からは深く懸念されるべきだと主張しています。

民主党のロン・ワイデン上院議員はThe Interceptに対し、「データブローカーが数百人の諜報員を自宅や世界中まで追跡できれば、深刻な国家安全保障上の脅威になることは間違いありません」と指摘。政府が企業から位置データを購入することの法的規制や、将来的な位置データサプライチェーンの取り締まりも検討するべきだとの見方を示しました。