ESET スマホの「位置情報の通知を許可する」で気をつけたいこと
本記事はキヤノンマーケティングジャパンが提供する「サイバーセキュリティ情報局」に掲載された「位置情報の設定で気をつけるべきセキュリティのポイント」を再編集したものです。
さまざまなサービスで活用されている、スマホの位置情報。一方で、その情報が悪用されることで、個人情報の特定をはじめとしたプライバシー侵害だけでなく、危険な犯罪に巻き込まれる恐れすらある。この記事では、位置情報にまつわるプライバシーに関するリスクをはじめ、位置情報を保護するポイントについて解説する。
写真内のさまざまな情報が個人情報特定のリスクに
スマホやウェブサービスで、位置情報を活用するものが増えている。代表的な例として挙げられる地図アプリでは、現在地に基づいて目的地への道順を表示するだけでなく、近隣のおすすめの店舗を教えてくれたりもする。ほかにも、旅行記作成サービスや、ゲームなど、位置情報を連携させることで、サービスの魅力や利便性は高まっている。
一方、位置情報がユーザーの意図しない方法で扱われることで、プライバシー侵害に至る危険性も指摘されるようになった。例えば、スマホで撮影した画像をソーシャルメディアに投稿するのは、個人情報保護の観点でリスクがある。というのは、画像へ自動的に付与されるExif情報(あるいは、Exifタグと呼ばれる)に撮影場所や撮影日時が含まれるため、投稿を閲覧した不特定多数の人から、撮影者の行動が把握されてしまう可能性があるからだ。
最近のソーシャルメディアやフリマアプリなどでは、アップロード時に自動で位置情報を削除するものもある。しかし、プライバシーを守るには、アプリが持つ機能に頼るだけでは十分とは言えず、被害を予防するために、ユーザー自身が設定内容を確認しておく必要がある。
Exif情報に位置情報データが残っていない場合でも、写真に写り込んだものから個人情報の特定に至るケースがある。屋外の風景を撮影した場合、特徴的なレストラン、ランドマーク、史跡や電車の車両などが2点以上写っていれば、撮影者がどこにいたのかを推測されやすいとされる。さらに、電車・バスの運行本数が少ない地方では、それらの車両が写り込むことで、撮影した時間まで推定されてしまうことも考えられる。
高精度・大容量の画像が容易に共有できる環境が整備されたことで、ユーザーの利便性は確実に向上している。一方で、これまでには考えられなかった方法で、ユーザーの個人情報が特定されるケースが増えてきている。
具体的には、自宅の写真であれば、窓の外に写った建造物を手掛かりにして、Googleマップ等を駆使して自宅の場所を推察されるリスクがある。室内に目を向ければ、郵便物や小包が写り込み、宛先に記載された住所が読み取られるかもしれない。他にも、自撮りした際に被写体の眼鏡やガラスに写り込んだもの、電柱に掲載された住所情報、特定の地域にのみ設置されたユニークなマンホールなどから、個人情報の特定に至ることもあり得る。
自身を撮影した写真を旅行中にソーシャルメディアへ共有する人も多い。しかし、こうした投稿は、ユーザー自身が自宅に不在であることを暗に示している、という認識を持つべきだ。実際、外出している人をソーシャルメディアで特定し、その住居へ侵入するといった事件も過去には発生している。
ガジェットやICカードの位置情報も狙われている
近年、位置情報を活用したガジェット(デジタル技術を利用した小物、アクセサリー)が開発され、多くのユーザーから利用されるようになってきた。その代表例として紛失防止タグ・スマートタグが挙げられる。紛失防止タグはキーホルダーとして持ち歩く、あるいはシールのような形状で対象物に貼りつけるようなガジェットだ。万一、その対象物の紛失が疑われる場合は、アプリを経由してアラートを発し、現在位置の情報を取得できるのがメリットだ。2021年から発売が開始された、アップル社の「AirTag」や法人向けにも使える「MAMORIO」などが知られている。
ただし、紛失防止タグにはプライバシー上の懸念があるとの指摘もある。具体的には、第三者が標的の荷物にタグを紛れ込ませてストーキングに悪用する方法が想定される。こうした被害に遭遇すると、自宅の正確な住所が悪意のある攻撃者に知られてしまう恐れがある。
アップル社を筆頭に、紛失防止タグの開発元ベンダーは、不審なタグを検知した際にユーザーへ警告するといった、セキュリティ機能を強化してきた。ストーキングなどの被害を未然に防ぐ取り組みも進めている。
同様に、位置情報が含まれるガジェットを悪用し、個人情報の詐取を狙う例として、Suicaなどの交通系ICカードも挙げられる。悪意のあるユーザー自らが登録・発行・チャージした交通系ICカードをターゲットに渡し、後日チャージするついでに行動履歴を閲覧する、といった手法が考えられる。
マッチングアプリやソーシャルメディアで知り合った相手の場合、相手の個人情報を詳しく知らない状態で交際に至ることもあるだろう。ICカードの履歴をチェックできるようになると、頻繁に乗降する駅や利用時間を割り出せるため、その相手を待ち伏せして追跡するようなこともできてしまうのだ。このような手口は、広義のソーシャル・エンジニアリングに該当する。人間の心理的な隙や行動のミスにつけこみ、さまざまな手段を講じて、ターゲットに関する情報を収集しようとするものだ。
位置情報に起因したプライバシーリスクを回避するためのセキュリティ対策
個人の位置情報は悪意のある第三者に狙われるリスクがある。こうした状況を回避するために、ユーザーはどのようなセキュリティ対策を講じるべきだろうか。以下に、5つの対策を具体的に紹介する。
1) アプリやスマホが要求する位置情報を安易に許可しない スマホアプリやウェブサービスを利用していると、唐突に位置情報へのアクセスを要求するものも少なくない。サービスの利用において必要以上に情報を収集しようとするものもあるため、安易にアクセスを許可するのは避けるようにしたい。スマホでは原則的にGPS機能を制限しておき、信頼できるアプリのみ、かつ、そのアプリを使用中にのみ有効化するように制限しておくのが望ましい。
2) ウェブサービスやソーシャルメディアに共有する投稿内容に細心の注意を払う
前述のとおり、ソーシャルメディアへの投稿は多くの個人情報を意図せず公開してしまうリスクを伴う。特定の地域における天気や事件・事故、イベントについて書き込むと、所在地が推測される恐れがある。自宅から近所の風景が判別できる写真や近所の風景について投稿するのは、自宅の位置が特定される危険性があることは頭に入れておきたい。
ソーシャルメディアの投稿を楽しむ場合は、投稿の公開範囲の設定を必ず確認するようにしてほしい。極力、知り合いにのみ公開範囲を限定し、古い投稿は非公開にするか、削除することが推奨される。悪質なユーザーの場合、古い投稿をたどって、投稿の日付や位置情報から、住所や誕生日を特定するような可能性も考えられる。
また、ソーシャルメディア上の友達リクエストは、実際に会ったことがある人のみ承認することをすすめる。投稿を知り合いまでに制限しても、面識のない悪意あるユーザーが混じっていれば意味がなくなってしまう。
3) 新しくアプリをインストールする際は信頼できる開発元に限定する
位置情報のアプリに限らないが、新しいアプリを導入する際には、信頼できるアプリ・開発元である点を確認する必要がある。最近では、「ストーカーウェア」と呼ばれる危険なアプリも存在している。ストーカーウェアには、通話・メール・写真などを盗み見たり、スマホを遠隔操作したりするような機能がある。もともと、そのような機能が搭載されていなかったアプリでも、後日のアップデートで悪意のある機能が本人の知らぬ間に追加されるケースもある。
このようなアプリの多くは、開発元が不審な企業であるケースが多い。新しくアプリをインストールする際には、アプリストアに書き込まれたレビューをチェック、あるいは開発元の企業情報をチェックするようにしてほしい。
4) 定期的にアプリを整理し、不要なアプリは削除する
ストーカーウェアのように、知らないうちに個人情報が悪用されている可能性もあるため、使わなくなったアプリは一定期間で削除することを習慣化するようにしたい。しばらく使っていなかったアプリが不審な行動をとっていても、ユーザーがその異変を感知することは容易ではない。アプリを明示的に利用していなくても、バックグラウンドで起動している間に、位置情報にアクセスされる設定になっている恐れもある。
また、ユーザー自身が知らない間に、位置情報を悪用するストーカーアプリをインストールされてしまうこともある。ストーキング行為のために、恋人や知人が本人不在の合間にスマホへ勝手に導入していた事例が過去に起こっている。定期的にアプリを整理し、自らが把握しているアプリにのみ利用を限定するようにしたい。
5) セキュリティソフトをインストールする
位置情報を安全、かつ便利に活用するには、ここまで述べてきたように適切な対策と心がけが求められる。個人の管理だけでは不安を感じるユーザーには、セキュリティソフトのインストールを推奨したい。
例えば、Androidスマホ向けの「ESET モバイル セキュリティ」のようなアプリをスマホにインストールすれば、不審な挙動を示すアプリを検出し、利用の可否についても警告を発してくれる。他にも、マルウェアからの保護や高度な盗難対策といった機能も備わっているため、全般的にスマホ利用時の安全性を高めることが可能だ。
どのようなセキュリティソフトを利用するにせよ、完全なものは存在せず、利用するユーザー自らの安全に対する意識が一番重要であることには変わりがない。位置情報に限らず、自分自身の大切な情報を守るためにも、安全性の強化を支援するツールを積極的に活用しつつ、プライバシーに対する意識を高めるようにしてほしい。