iPhoneのトラッキングをOFFにしてもAppleによる追跡だけは止まらない

GIZMODO

「プライバシー。これがiPhone」のAppleがぁ…。

iPhoneのプライバシー設定で個人情報のトラッキングを止めても、Apple純正アプリによる追跡だけは止まらず、かなりくわしく利用者のデータが抜かれていることがわかりました。

「iPhone解析」の設定画面では、共有をOFFにすれば「デバイス解析データの共有がすべて無効になる」と表示されます。ところが、アプリ開発に従事するTommy MyskさんとTalal Haj Bakryさん、ソフトウェア会社Myskのセキュリティ研究班が、念のためApple純正アプリ(App Store、Apple Music、Apple TV、Books、Stocks)による情報収集を調べてみたところ、解析やプライバシー設定をいじってもAppleによるデータ収集にはなんの変化も起こらなかったとのこと。解析の共有をONにしてもOFFにしても同じようにトラッキングは続行されていたのです。

「Appleのような会社がこれだけくわしい情報を集めているのは衝撃だ」

このようにMyskさんはGizmodoからの取材に答えています。

App Storeの挙動はすべて見張られている

たとえばApp Storeアプリでは、ストアでの一挙手一投足がリアルタイムで追跡されていました。何をタップして、どのアプリを検索して、どの広告を見て、どれくらいの時間アプリを眺めて、そのアプリをどう見つけたのか、といった情報までです。さらに利用者とその端末の詳細(ID番号、使用スマホの種類、画面解像度、キーボードの言語設定、インターネット接続方法など)も送信されていて、これだけわかればデバイスフィンガープリンティングもできちゃうレベルなのだとか。

「オプトアウトしても、カスタマイズのオプションをOFFにしても、当該アプリが送信する情報量が減ることはなかった」とMyskさん。「パーソナライズされた広告、パーソナライズされたおすすめ、使用データの共有、解析の共有など、考えうるオプションはすべてOFFにしてみたんだが」効果はありませんでした。

この件についてはAppleには何度もコメントを求めましたが、返答はもらえていません。何かあればアプデートします。

ほかのApple純正アプリも

念のためMyskさんに頼んで、ほかのApple純正アプリも比較のため調べてもらったところ、HealthとWalletは「iPhone解析」がONでもOFFでも一切送信されていなかったのに対し、Apple Music、Apple TV、Books、iTunes Store、Stocksはすべて送信されていることがわかりました。解析データを送信するアプリの大半は、共通のID番号も一緒に送られています(これがあればAppleは自社サービスを縦断して利用者のアクティビティを追跡することが可能)。

Stocksアプリからは、フォローしている株の一覧、検索・閲覧した株の銘柄、検索・閲覧した日時、アプリ内で読んだニュース記事のデータがAppleに送信されていました。送信先のアドレスはアナリティクス用とおぼしきサイト。デバイス間でデータの同期をとるときにはiCloudのクラウド経由でこれを行ないますが、それとは別口です。ただStocksアプリから送られるID番号はほかのアプリとは異なり、デバイスに関する情報もずっと大雑把なものでした。

テストで使用した端末

使用した端末は2台です。1台は脱獄iPhone(iOS 14.6)で、これだとトラフィックの暗号化を解除し、どのデータが送られたか見ることができます。AppleはiOS 14.5で「ATT(アプリトラッキングの透明性)」をローンチし、 「アプリが追跡することを許可しますか?」 という確認画面を表示して「Appにトラッキングしないように要求」「許可」を選ばせるようにし、これでGoogleやFacebookは追跡が困難になって広告収入が激減り中なわけですが、使用端末はATT導入後のOSですね。もう1台は通常のiPhoneで、OSは最新のiOS 16。

脱獄版と正規版とで送られる情報が異なる可能性はあまり考えにくいのですが、いちおうiOS 16でも同じようなデータのパケットが同じAppleのウェブアドレスに送られていて、送信のタイミングも状況も同じでした。プライバシー設定をONにしてもOFFにしても変わらないのも同じ。正規版は暗号化が壁になって送信データの内容までは見れませんでしたが、脱獄版と類似点が多いことから類推して、おそらくiPhone全般に共通する挙動なのではないかと思われます。

行動追跡にはいろいろ問題ありますよね。たとえばApp Storeで参照するアプリの種類でメンタルヘルスや性指向、宗教がわかることだってありそう。人に知られたくないデータが一民間企業のサーバに送られることに抵抗を感じる人だっていますし。

Appleは黙して語らず

Appleがデータをどう使用しているのかは説明がないのでわかりません。Appleは沈黙を続けています。共有をOFFにしたら、データには一切手をつけてないことだって考えられますが、 同社の「デバイス解析とプライバシー」のページにはそのような記述もないようす。

参考までに、AppStoreのデータ収集の様子がわかるMyskさんの動画もはっておきますね。

[embedded content]

「どうせどのアプリもデータ追跡してるんでしょ」と思う向きもあるかもしれませんが、Myskさんは「それは違う」と言っています。パートナーと共同で以前、Google ChromeとMicrosoft Edgeを同じように調べたら、どっちも解析をOFFにしたらデータの送信は止まったそうですし、それが業界の常識なのだといいます。

プライバシーで差別化を図るApple。特大のビルボードで「プライバシー。これがiPhone」と宣伝しています。追跡アプリが増えていって、トラッキングをOFFにした途端、消えるCMを全世界で流したAppleなのに、まさか最後まで消えずに残っていた追跡者がAppleだったとは…。

[embedded content]

Appleの広告ネットワークも利用者の個人情報をベースにするものであり、やってることはGoogle、Metaと同じなのに、広告ではプライバシーを都合よく解釈して競合のプライバシーの扱いを非難。こうして牽制球を放ちながら、自社では類似の目的でせっせと利用者のデータを収集していたことになります。こうなると、あのATT(アプリのトラッキングの透明性)導入でGoogle、Metaの追跡にストップをかけたのも、自社だけ追跡を有利に進めて広告分野でも大手になりたかったからなのかな…と勘ぐってしまいますよ。

Appleの掲げるトラッキングの定義

なお、Appleのサイトには「追跡してない」とあります。

Appleの広告プラットフォームはあなたを追跡しません。 つまり、Apple製Appから収集されたユーザやデバイスのデータを、他社製Appから収集されたユーザやデバイスのデータと組み合わせて、ターゲティング広告または広告測定のために使用しません。また、ユーザやデバイスのデータをデータブローカーと共有しません。

要するに他社のアプリから収集されたデータと組み合わせなければ、それはトラッキングには当たらない、というのがAppleの定義なのです。Apple単独で収集する限りにおいては、それはトラッキングじゃないと。もちろんそんな定義はここだけのものであり、ほかで通用するものではありません。

Appleが解析データを集めていること自体はそう驚きでもないんですが、Myskさんが驚いたのは、データが細かすぎるところです。「プライバシーは基本的人権というAppleみたいな会社なら、集めるとしてももっと大雑把なものかと思っていた」と言っていますよ。

iPhoneで起こったことはiPhoneで終わる秘密…と思ってたら、Appleに山のようにデータが送られていたということで。

タイトルとURLをコピーしました