キヤノンMJ/サイバーセキュリティ情報局
アプリの位置情報取得や利用許可で生じるセキュリティリスクとは
本記事はキヤノンマーケティングジャパンが提供する「サイバーセキュリティ情報局」に掲載された「位置情報の取得・利用許可で生じるスマホのセキュリティリスクとは」を再編集したものです。
日々進化を続け、より良いユーザー体験をもたらすようになっているスマートフォンのアプリ。地図アプリや位置情報を活用したゲームなど、日常的に利用される一方で、精度の高い位置情報は個人のプライバシーに関わり、取り扱いには注意する必要がある。本記事では、アプリが位置情報の取得・利用を求めてくる具体的なケースを取り上げ、それらのセキュリティリスクについて解説する。
位置情報測定技術のメリットとデメリット
スマートフォン(以下、スマホ)で位置情報の利用を許可すると、地図アプリで経路案内の利用や位置情報と写真などを紐づけして思い出として残せるといった、多くのメリットを享受できる。テクノロジーが進化したことで、位置情報の測定精度が高まり、利便性が向上する一方で、位置情報自体をプライバシー性の高い個人情報としてみなされる傾向が強まっている。位置情報を取得するには以下のような方法があり、それぞれメリットとデメリットがある。
・GPS
衛星から発せられる電波を受信し、数メートルの誤差で位置を計測できるとされており、広く普及している。屋内では電波を受信できないため、利用が難しい。
・Wi-Fi
アクセスポイントとの通信とMACアドレス(端末識別番号)を紐づけ、その位置を測定する。屋内でも測定できるのがメリットと言える。
・IPアドレス
IPアドレスを収集するベンダーが保有するリストと照合し、接続元の情報を判別する。固定IPを使用していれば精度が高いが、変動IPでは特定が難しい。
・携帯電話と接続する基地局
通話やメールの通信エリアにより、数百メートルから数キロの範囲内で位置が特定できる。
・Bluetooth
電波が届く範囲(一般的には10m以内)は小さいものの、受信強度をもとに精度の高い位置情報を取得できる。
・NFC
NFCとは「Near Field Communication(近距離無線通信)」の略であり、Bluetoothよりもさらに近距離での通信を前提としたテクノロジーで、位置情報を特定する。
位置情報を活用したサービス
スマホやタブレットの位置情報サービスでは、複数のテクノロジーを組み合わせて、精度の高い計測を実現している。具体的には、以下のようなケースが想定される。
1)個人向け
・地図アプリ
現在位置を特定した上で、目的地までの経路案内を行う。また、最近は移動時の速度を取得することで、自動的に目的地までの時間を予測してくれるアプリもある。スマホの設定で許可されていれば、GPS、Wi-Fi、携帯電話基地局等の情報を組み合わせて、精度の高い位置測定を行っているのが特徴だ。
・ゲームやフィットネスのアプリ
宝探しや鬼ごっこのような要素を組み合わせたゲームでは、ビーコンと呼ばれる「Bluetooth LE」の技術が利用される。位置情報を利用したゲームの代表例として、世界的に一大ブームを引き起こした「ポケモンGO」が挙げられるだろう。また、フィットネス系の代表格であるランニングアプリでは位置情報に加え、加速度センサーを組み合わせて、より良いユーザー体験を実現する。Bluetooth 5.1からは方向検知機能を実装したため、より精度の高い情報が取得できるようになり、ゲームやアプリでの応用可能性も広がっている。
・位置情報共有アプリ
高齢者や子どもの行動を監視し、危険を回避するといった使い方をされる。子どもが学校や通学路を外れるケースや、歩行の速度を明らかに超過し、バスや電車などでの移動が見込まれる場合に通知を届ける、ペアレンタルコントロール機能として利用される。過去のロケーション履歴が高い精度で保存されるため、使用方法によってはプライバシー侵害となりかねない。
・緊急・紛失時の連絡アプリ
防犯アプリやスマホの標準で備わっている緊急通報機能では、警察や消防に通報すると同時に、現在地を知らせるメッセージも送信できる。また、スマホ紛失時の場所特定にも位置情報が利用される。遠隔でスマホをロックする、着信音を鳴らす、データを消去する、といった使用方法もある。
・接触確認アプリ
インストールしているユーザーの位置情報をもとに、周囲との接触記録を取得することで、新型コロナウイルスの陽性者となった場合、濃厚接触者と疑われるユーザーのもとに通知が届く。このようなアプリは、近距離で高い精度の位置測定が行えるBluetoothのテクノロジーを用いている。
2)企業向け
・アクセス制御
位置情報を認証情報として利用するケースも増えてきている。Wi-Fiネットワーク上の特定のポイントにいる場合のみアクセス権限を付与するなどして、機密性の高いドキュメントの情報漏えいを防ぐ。端末やファイルが盗難されても、特定のポイントからでなければ閲覧できないため、ドキュメント保管のセキュリティが高まる。
・従業員管理
テレワークや在宅勤務の広がりとともに、従業員に配布したスマホやタブレットの管理が可能なMDM(モバイル・デバイス・マネジメント)のニーズが高まってきた。MDMは不要なアプリの利用制限を含め、セキュリティリスクの軽減に役立つ。MDMの一環として、端末の位置情報を取得し、社員の行動範囲を記録・管理する、あるいは端末の紛失・盗難に備えるといったことも可能だ。
・資産追跡
IoTデバイスやドローン、船舶などの運行や追跡を行う。最近では応用として、宅配サービスが配送状況の目安として位置情報を提供する例もある。
位置情報にまつわるセキュリティやプライバシーのリスク
位置情報を用いたサービスは、セキュリティや個人のプライバシーに関する懸念がある。すでに理解も広がってきているが、ソーシャルメディアに友人をタグ付けする行為や、スマホで撮影した画像のExif情報に撮影日時や場所が残ることで、「いつ、どこに誰といたか」という事実が丸裸になるリスクがある。こうした点に配慮しない場合、意図せず個人情報が漏えいするリスクが残るため、注意が必要だ。
また、上記のような直接的な情報だけにとどまらず、画像に写り込んだ建物や景観、天候を含んだ背景などから位置が特定されるケースもある。
加えて、許可外の情報を不正取得するストーカーウェアの問題もある。ストーカーウェアは、通常の監視アプリになりすまして位置情報や通話内容、メッセージなどを監視・盗聴する。さらには、導入したスマホを遠隔操作するような非常に悪質なケースもある。例えば、2014年に発見された「Skygofree」は位置情報を悪用したマルウェアだ。特定の場所にいる時に、感染した機器のマイクから周辺の音声を盗聴できる点が問題となった。
位置情報に関連する脆弱性とそのリスク
位置情報に関連するテクノロジーに脆弱性が発見されたケースは少なくない。2014年には、スマホ向けWebブラウザー「Sleipnir Mobile」で位置情報に関わる脆弱性が発覚した。GPS、Wi-Fi、IPアドレス、携帯電話基地局などから位置情報を取得する方法に問題があり、この脆弱性が悪用されると、ユーザーの許可なしに、ユーザーの位置情報が訪問したWebサイトへ送信されてしまう可能性が指摘されている。
また、Simjackerと呼ばれる、スマホユーザーの位置情報を流出させるような脆弱性がSIMカードで発見された例もある。悪意のあるハッカーが、標的となった端末にテキストメッセージを送ると、SIMカードが自動的に位置情報を流出させてしまう。所有者が知らない間に、自宅や生活圏が監視されるリスクがあるのだ。
他にもGPSを悪用する例として、通信を妨害するGPSジャミング、信号を偽造するGPSスプーフィングなども挙げられる。こうした攻撃に遭遇すると、荷物や船舶、ドローン等の追跡にGPSを使っている企業では、想定したコースを外れてしまい、大きな事故を引き起こしてしまう可能性がある。
位置情報の権限許可は慎重に
セキュリティを高めるためにも、ユーザーは位置情報をどのアプリで用いているかを十分に理解しておく必要がある。これまでアプリの権限設定を無節操に許可していたのであれば、再度見直すことを強く推奨する。
折しも2020年9月に配信されたiOS 14ではアプリごとの権限に関する設定が、より細かくできるようになっている。また、不審な通信を検知し、ポップアップ通知を上げるようになってきているのも大きなメリットと言えよう。
アプリだけでなく、Webブラウザーやソーシャルメディアのプライバシー設定も改めて見直し、より堅牢な設定へ変更するようにしておきたい。
位置情報の活用はユーザーの利便性を高めるものであるが、プライバシー侵害とは背中合わせの存在でもある。また、自分自身だけでなく、友人や周囲の人の位置情報を漏えいしてしまう恐れもある。位置情報に用いられる技術やそのリスクを十分に理解し、定期的に設定を見直すようにしたい。