XやFacebookなどなど、設定でも防げないデータ収集。
「iPhoneで起こることは、iPhoneの中にとどまる」。Apple(アップル)はそんな表現で、iPhoneのプライバシー保護の強固さをアピールしてきました。もちろんアプリを使う上で、アプリデベロッパー側に渡るデータもたくさんあります。
でもiPhoneでアプリがユーザーのデータを収集するときは、Appleの厳密なルールに従うことになっています。
でもFacebookやX(旧Twitter)、TikTokやLinkedInなどなどのメジャーなアプリが、ルールを回避してユーザーのデータを取得しているらしいことが発覚しました。そこで抜け穴になっているのは、iOSの通知機能です。このことは、アプリデベロッパー・Mysk Inc.のセキュリティリサーチャーによる調査で発覚しました。
ユーザーがiPhoneでバックグラウンドでのアプリのデータ収集を止めるには、アプリを閉じればいいことになっています。でもMysk Inc.によれば、通知の抜け穴を使うと、アプリを閉じているときでもデータを収集されてしまいます。
そこで取得されたデータは、アプリやデバイスを横断したユーザーの追跡や分析、そしてターゲティング広告に利用されているようです。
ただしMysk Inc.に指摘された会社の中には、この告発は間違いだと言っているところもあります。
多くのアプリが悪用
アプリがスキあらばデータを集めようとするのは織り込み済みですが、この実験をTalal Haj Bakry氏とともに行なったTommy Mysk氏は、「この手法が広く行われていることに驚いた」と言います。
通知を消すだけのシンプルな操作で、デバイス固有の情報を遠隔サーバーに送れるなんて、誰にわかったでしょうか? デベロッパーはこれをオンデマンドで実行できるという事実は、どうかと思います。
この手法でデータを取得しているアプリは、悪意のある少数派というわけではありません。Mysk Inc.のリサーチャーによれば、この問題はiPhone生態系全体に広がっています。でもMetaとLinkedInの広報担当者に確認したところ、彼らはこのデータを広告などの不適切な目的に使っているとは認めませんでした。
LinkedInの担当者いわく、このデータは通知が正しく機能するために取得しているのであり、Appleのガイドラインに従っている、とのことです。米GizmodoからはAppleやX、TikTokにも問い合わせましたが、すぐに回答はありませんでした。
MyskがAppleのデバイスでのデータ収集の問題を発見したことは、今までにも何回かあります。2023年10月、彼らはWi-Fi上でのアドレス情報を保護するためのiPhoneの機能が、じつはそれほど有効じゃなかったことを明らかにしました。
2022年には、ユーザーがiPhoneのプライバシー設定で「デバイスの分析情報の共有をすべて無効にする」を選択していてもデータ収集を止めていなかったことを発見しています。この2022年の件を米Gizmodoが報じたことをきっかけに、12件以上の集団訴訟が起こされました。
データを個人の特定に利用
問題のデータは、「フィンガープリンティング」という手法で使われる情報のようです。ここでいうフィンガープリンティングとは、人間の指紋を取ることではなくて、ユーザーのデバイスに関する一見意味のない情報を複数継ぎ合わせてユーザーを特定することを指します。
デベロッパーはフィンガープリンティングによってプライバシー保護策を迂回してユーザーを追跡し、ユーザーの画面にターゲティング広告を表示することができます。
でもAppleはデベロッパーに対し、フィンガープリンティングをはっきりと禁止しています。iPhoneを含むApple製品には、ユーザーを特定したい企業によるデータ収集をユーザーがコントロールするためのいろんな設定やルールがあります。
でもMyskのテストでは、Facebookの通知を操作すると、FacebookアプリがデバイスのIPアドレス、再起動されてからのミリ秒数、スマホの空きメモリ容量などなどの細かい情報を大量に収集していました。これらのデータを総合すると、かなりの精度で人物を特定できるようになります。
他のアプリでも同様と情報を収集していて、たとえばLinkedInアプリは、ユーザーのいるタイムゾーン、画面輝度、モバイル通信事業者などのデータを収集していました。Myskいわく、LinkedInは特定の広告キャンペーンに関連していそうな情報も集めていました(LinkedInの広報は否定)。
ただ、アプリが何らかの情報を集めているからと言って、必ずしもそれを使って何かしているとは限りません。
各社の言い分
私たちは、広告や関連する分析、デバイスやアプリを横断した追跡のためにメンバーのデータを収集する手段として、通知を利用していません。
LinkedInの広報担当者は言いました。
収集されるデータは、通知がきちんと送信されたことの確認と、一時的には、メンバーが通知に反応してアプリを立ち上げた場合に、アプリ体験に順序を付けるために使います。
また、データが外部に共有されることはない、とも付け加えました。
Facebookの親会社、Metaの広報担当者・Emil Vazquez氏も同様の回答でした。
その発見は正確ではありません。ユーザーは自身のデバイスで我々のアプリにログインし、通知を有効化する承認をしています。
我々はこの情報を、アプリが動いていないときでも、定期的に使うかもしれません。それは我々がAppleのAPIを使って、タイムリーで信頼できる通知を届けるためです。これは我々のポリシーとも合致しています。
個人特定でターゲティング広告が可能に
フィンガープリンティングに使われるデータは、位置情報などと比べるとセンシティブではありませんが、広告などの目的では高い価値があります。大事なのは、ターゲット広告などのデジタルなプライバシー侵害は、ユーザーのアイデンティティ特定が目的だということです。
アプリを運営する企業は、ユーザーがそのアプリで何をしているのかは把握できますが、ユーザーが誰なのかは必ずしもわかっていません。誰のデータかがわからないと、データとしての価値は激減してしまいます。逆にユーザーを特定できれば、ターゲティングした広告を打って高い効果が得られます。
Appleはデータ収集とターゲティング広告専用のIDを発行していますが、iPhoneの設定で「アプリからのトラッキング要求を許可」をオフにすれば、そのIDをブロックできます。そうすれば理論上は、ユーザーとユーザーの他アプリやネット上での行動を結びつけることはできなくなります。でもフィンガープリンティング用のデータが収集されると、その関連付けが可能になってしまうんです。
またアプリがこういったデータを収集できるのは、本来はアプリの使用中だけで、アプリを閉じればデータの流れも止まります。でも問題は、プッシュ通知が抜け穴になっているらしいことです。
Appleは開発者に特殊なソフトウェアを提供し、アプリからの通知の送信を可能にしています。そしてある種の通知に関しては、アプリが音を再生したり、テキストや画像などの情報をダウンロードする必要があります。アプリが閉じている場合、iOSがアプリを一時的に起動させ、企業のサーバーに接続したりユーザーに通知を送ったり、その他必要な動作を可能にします。Myskが発見したデータ収集は、この動作が行なわれる一瞬の間に行なわれていました。
アプリ企業は、ターゲティングしたデバイスに通知を送ることでバックグラウンドで起動させ、情報を送らせることができます。
とMysk氏は説明します。言い換えれば、TikTokやXが、アプリを閉じているユーザー10万人の現在のIPアドレスを取得したければ、ちょっとした通知を送るだけでいいということです。「とんでもないことです」とMysk氏は言います。
特定目的じゃない可能性も?
もちろん、アプリ側がサービスを改善するために、通知に対する反応を分析するのは全然問題ありません。でもMysk氏いわく、アプリがこれらのデータを収集する目的はそこにはないと考える理由がいくつかあります。
まずひとつは、Appleがデベロッパーに対し、通知への反応のデータを直接渡していることです。なのでデベロッパー自ら反応データを取りに行く必要は、本来だったらありません。
さらにアプリが集めている多くのデータは、スマホのストレージ空き容量や再起動からの時間といった情報で、それらが通知の効果分析に使えるのかはかなり疑問です。
もうひとつは、通知を送るアプリ開発会社すべてが、フィンガープリンティング用データを集めているわけではないことです。たとえばGmailとYouTubeアプリが集めていたのは、Mysk氏のテストによれば、明らかに通知の処理に関するデータだけでした。
Mysk氏は、Google(グーグル)のような企業が細かいデータを集めずに通知を送れるのであれば、彼が発見したLinkedInやFacebookのデータには他の目的があると考えています。
通知に伴うデータ収集は、ターゲティングが目的ではないと考えられる理由も多少はあります。たとえばデベロッパーが過去のアプリの古いコードを消し忘れていて、それがたまたまデータ収集用コードだったという可能性もあります。ただMysk氏は、それは信じがたいと言います。
Appleの対応は
幸い、これからiOSのルールには改訂の予定があるので、状況が改善する可能性もあります。2024年春以降、アプリ開発者が何らかのAPIを使う場合、その理由と使い方を説明する必要があります。ここでいうAPIとは、アプリがiOSとやりとりするときに使われるソフトウェアを指します。
なので理論上、デベロッパーはなぜユーザーを特定しているのかを開示せざるをえなくなります。またデータを不当な目的で収集しているとしたら、停止させられるかもしれません。
悪いニュースは、Appleがそのルールをどう徹底させるかがはっきりしないことです。
とMysk氏は言います。
残念ながら開発者がウソをつく可能性もあり、そうするとこのルール改訂でも一件落着とはなりません。それにAppleには、今まで同様のルールを課していても、あまりうまくいっていなかった悪い実績があります。
この手法に関しては「通知を閉じる」操作をしなければデータを取られないので、ルール改訂前であってもそれが一応の自衛策となります。ただ、他にどんな抜け穴があるかわからないし、ルール改訂も決定打にはならなそうだし、不安は続きますね…。