米国税関・国境警備局(CBP)が、オンライン広告業界から携帯電話の位置情報データを購入し、追跡に利用していたことを初めて認めました。この事実は、プライバシーと監視に関する広範な議論を巻き起こしています。今週は、このCBPの動向に加え、FBIのネットワークにおける不審な活動、暗号化メールサービスProton MailがFBIに協力した事例、サイバー犯罪フォーラムの摘発、そしてMetaのスマートグラスが抱えるプライバシー問題など、セキュリティとプライバシーに関する複数の重要なニュースが報じられました。
CBPによる携帯電話位置情報データの利用
404 Mediaが情報公開法に基づき入手した「プライバシー閾値分析」と題された文書により、CBPが2019年から2021年にかけて実施した試験運用において、監視色の強いオンライン広告業界から携帯電話の位置情報データを購入していたことが明らかになりました。
このデータは、オンライン広告やアプリで広告が表示される際に発生する、自動的かつ瞬時のリアルタイム入札プロセスに関連しています。広告業界の不透明な部分では、デバイスの識別情報や位置情報データが収集され、企業や団体に再販されることがあります。このデータは、人々の日常活動を追跡するための「宝の山」と呼ばれています。
CBPは現在もこのデータを購入しているかについて404 Mediaのコメント要請に応じていませんが、移民税関執行局(ICE)は、地域全体の携帯電話の動きを監視できる「Webloc」という別のシステムへのアクセス購入を計画していると報じられています。
Proton MailがFBIによる抗議活動参加者の特定に協力
アトランタで発生した抗議活動の参加者が、スイスの暗号化メールサービスProton Mailから最終的に得られた情報によってFBIに特定されたことが、裁判所文書で明らかになりました。404 Mediaが確認した文書によると、国際的なデータ共有を可能にする相互法的支援条約(MLAT)に基づき、スイス当局が米国の法執行機関にProtonメールアドレスに関連する支払い情報を提供したとのことです。
スイス当局は、アトランタでの抗議活動に関連する「defendtheatlantaforest@protonmail.com」というメールアドレスの支払い情報を、スイスの法律に基づいてProtonに要求しました。この情報は国際協定の下で米国の法執行機関に提供され、アカウントに関連する個人が特定されました。
この事件は、プライバシーと匿名性の違いを浮き彫りにしています。暗号化サービスはアクセスできないメッセージデータを提供することはできませんが、顧客に関する他の形式の情報は保持している場合があり、それを開示する可能性があります。Proton Mailの広報担当者は、「ProtonはFBIにいかなる情報も提供しておらず、情報はMLATを通じてスイス司法省から入手されたものです。Protonは、スイス当局から法的拘束力のある命令が出され、かつすべてのスイスの法的審査を通過した場合にのみ、保有する限定的な情報を提供します」と述べています。
FBIネットワークにおける「不審な活動」
サイバーセキュリティコミュニティに既視感を抱かせる見出しで、CNNは今週、FBIが盗聴および監視令状を扱うネットワークの一部でサイバーセキュリティインシデントの疑いを調査していると報じました。FBIはこの「不審な活動」に対応していることを確認しましたが、詳細については明らかにしておらず、CNNは、この事件がFBIと司法省の上級職員による国家安全保障と市民の自由に関する対応を促したと付け加えるに留まっています。盗聴データの潜在的な侵害という言及は、2024年に中国のハッカー集団「Salt Typhoon」が、法執行機関に代わって盗聴を可能にするシステムを悪用し、事実上すべての米国の通信事業者に侵入した壊滅的な事件を想起させます。
サイバー犯罪フォーラム「Leakbase」が多国籍作戦で摘発
FBI、ユーロポール、および多数の欧州法執行機関が協力し、2021年の開設以来142,000人の有料会員を抱えていたサイバー犯罪フォーラム「Leakbase」を摘発しました。サイバーセキュリティニュースサイトThe RecordがFBIサイバー部門のブレット・レザーマン副部長へのインタビューで報じたところによると、この摘発には13人の逮捕、オランダからマレーシアにわたるダークウェブサイトのインフラの押収、数十人の容疑者への聞き取り調査が含まれています。Leakbaseは、盗まれたデータやユーザー認証情報のよく知られた情報源でした。
Metaスマートグラスの映像レビューでプライバシー懸念
MetaのAI搭載スマートグラスの映像をレビューする請負業者が、ユーザーの浴室での様子、着替え、金融情報の露出など、機密性の高い映像を日常的に見ていたと証言しています。ナイロビのデータラベリング企業Samaに雇用されている従業員が記者団に語ったところによると、この映像はMetaのAIシステムのトレーニングに使用されており、懸念を表明した従業員は解雇される可能性があるとのことです。このスマートグラスは「ライブAI」機能中にビデオと音声を記録し、ユーザーが見ているものについて質問することができます。Metaのポリシーではこれらの録画を保持およびレビューすることが許可されていますが、請負業者によると、多くのユーザーは自律システムだけでなく人間もコンテンツを見ていることを認識していないようです。
このニュースは、スウェーデンの新聞Svenska DagbladetとGoteborgs-Postenが最初に報じました。両紙は、MetaのAIシステム向けにビデオとオーディオの注釈付けに関わった30人以上の現役および元従業員にインタビューを行いました。