• TOP
  • 特集一覧
  • フィットネス情報から軍事施設情報が意図せず露出する事態に
2018/02/27

フィットネス情報から軍事施設情報が意図せず露出する事態に

メイン画像

IoTがアスリートによる運動をより楽しいものにしています。フィットネス情報をトラッキングできるデバイスを身に着けることで、運動時の身体パフォーマンスやトレーニングのコースを記録するだけでなく、同じ運動を楽しむ世界中の人たちとつながることで、アスリートは新たなコミュニケーションの場を得たりお互いを高めあったりすることができるようになっています。

IoTはこのようなメリットを利用者にもたらす一方で、セキュリティやプライバシーの観点でリスクをもたらす危険性があります。報道によると、アスリートのためのソーシャルネットワークを提供するフィットネストラッキングサービス「Strava」が2017年11月に公開した利用者の活動状況を表すヒートマップに、米軍の秘密基地や前線基地(Forward Operating Base、FOB)の位置情報、兵士の巡回経路が意図せず露出していたことがわかりました。このヒートマップ情報は、同サービスが提供するアプリ利用者から収集した10億の活動、3兆の経度・緯度情報、13兆ピクセルのラスタ形式データおよび10TBの入力データによって構成されています。

世界各地の紛争情報の発信活動を行う「Institute for United Conflict Analysts」の創設者の1人であるNathan Ruser氏が、2018年1月28日、前述の情報をTwitterで初めて公開しました。Ruser氏はツイートの中で、Stravaのヒートマップ情報から「米軍基地を明確に特定し地図上に位置づけることが可能だ」と述べています。Ruser氏はさらに、シリアのラタキア市南東部のフメイミムにおけるロシア空軍の活動地域、トルコ軍の巡回経路、アフガニスタンの前線基地、兵士のジョギングコースも特定しています。また、懸念事項は基地の位置情報だけではないともツイートしています。多くの利用者は、自身の情報をプライベート設定にしていないため、ヒートマップ情報から構成された「生活パターン情報」によってプライバシーやセキュリティ上の問題が発生する可能性があります。

利用者は必要に応じてプライバシー情報の公開範囲を設定することが可能であるとStravaは情報公開しています。例えば、自宅や職場をプライバシーゾーンに追加すると、そこでの活動情報を他の利用者に非公開とすることが可能です。他にも、匿名化された自身の活動情報を提供しないという選択肢もあります。

しかし、Stravaのヒートマップ情報からは、位置情報だけでなく、利用者名、プロフィール画像、心拍数のような情報も抽出することが可能でした。このヒートマップから得られる詳細情報は、個人に危険をもたらす可能性が十分あります。プライバシーに関する欧州のリサーチャLukasz Olejnik氏は、たとえプライバシーゾーンが設定されていたとしても、Stravaの情報には公開すべきではない個人を特定できる情報が含まれていると述べています。

この事例は、「モノのインターネット(Internet of Things、IoT)」の普及に伴うセキュリティやプライバシー上の危険を明らかにしたといえます。なぜなら、利用者の情報は自動的にヒートマップ上で共有される設定になっており、情報を共有したくない場合は利用者が自らオプトアウトするよう手動で設定する必要があるからです。無害なフィットネストラッキングサービスであるStravaが、設定次第で利用者を危険にさらす可能性があったというこの事実は、セキュリティやITの専門家に警鐘を鳴らすものとなりました。また、IoTのサービスやデバイスを提供する事業者の側でも、機密情報を扱っているかどうかにかかわらず、提供するデバイスやサービスに対するIoTセキュリティの方針策定および実施が求められているといえます。

2020年には世界全体のスマートフォン利用者数が28億人を超えると予測されています。技術によって多くの人々の生活が向上する一方で、そこにはますます多くの人々がサイバー犯罪者の標的になり得るという負の側面もあります。サイバー犯罪者は、クレジットカード情報や連絡先リスト、メールアドレス、アカウントの認証情報など、利用者のあらゆる情報を狙います。

スマートフォンをはじめインターネットとつながる様々なデバイスをより安全に利用するために、利用者は以下の点を心がける必要があります。

  • ・デバイスのファームウェアやオペレーティングシステム(OS)、アプリを定期的に更新

  • 新しい脆弱性は常に発見され、メーカーは都度セキュリティの更新プログラムを配信します。ファームウェアやOS、アプリの更新案内を受け取った際には、更新プログラムを速やかに適用することを推奨します。また利用するデバイスにプログラムの自動更新機能があるかを確認し、存在する場合はその機能を有効にして利用しましょう。

  • ・標準搭載されているセキュリティ機能の使用

  • スマートフォンの画面ロックやプライバシー情報の公開設定など、デバイスやアプリに標準搭載されているセキュリティやプライバシー保護のための機能を利用することを推奨します。インターネットを介して情報を共有するデバイスやアプリ、サービスにはこうした機能が備わっていますが、仮にこれらの機能が確認できない、提供されていないといった場合には、それらのデバイスやアプリ、サービスの利用を再検討すべきです。

  • ・位置情報へのアクセスを制限

  • アプリやWebサイトは、デバイスの位置情報から利用者のおよその位置を特定することが可能です。セキュリティやプライバシーの観点から、位置情報は慎重に取り扱うべき情報の1つです。スマートフォンを利用する際には、位置情報へアクセスできるアプリをあらかじめ確認し、位置情報へのアクセスを拒否したり、必要な時だけアクセスされるよう設定することが推奨されます。例えば、iOSデバイスに位置情報へのアクセスを許可している場合、「常に許可」の代わりに「このAppの使用中のみ許可」に設定することで、バックグラウンドで動作する不正アプリによる位置情報の窃取を防止することができます。

ほかにもWi-Fi自動接続を無効にして安全ではないWi-Fiネットワークの利用を控える、アプリのダウンロードは信頼できるストア、マーケットからに限定する、デバイスの自動ロックを有効にする、推測が難しいパスコードの設定など、利用者ができる対策は様々あります。

一方で、こうしたIoTデバイスやサービスを提供する事業者側においても、利用者の安全を確保するためにセキュリティ対策の実施は欠かすことができません。事業者側の対策指針については、こちらの記事を参考にしてください。

つながる時代の脅威に対して企業がいま取り組むべきIoTセキュリティとは?

おすすめの動画

IoTで広がる世界とそのセキュリティ

運営社情報

セキュリティブログ
is702
PageTop