ユーザーの位置情報は通信事業者によって”一般販売”され、犯罪者に渡っていた

Motherboardのレポートによると、アメリカの通信事業者は”第三者”にユーザーの位置情報を販売しているとのことです。

しかも不正な第三者が位置情報を把握できる状態だったそうです。

300ドルで売られる位置情報

顧客の位置情報を販売していたのはT-mobile、Sprint、AT&Tです。

それを実証するためにMotherboardは賞金稼ぎにある電話番号を渡しました。

するとその賞金稼ぎは電話番号から該当の位置情報を調べ、青い円が表示されたGoogleマップのスクリーンショットを示したそうです。

そして実際にその位置に行った所、携帯電話が有ったとのこと。かかったコストはわずか300ドルでした。

位置情報を知るのに特定のハッキングツールを使用することはなかったそうです。

また特定の技能は必要ありませんでした。位置情報は通信事業者(T-mobile、Sprint、AT&T)が販売したものをそのまま使用したそうです。

裁判所を通して警察等が犯罪者の位置情報を把握しているのはよく知られていますが、Motherboardによると対象が民間人である動産管理者そして保釈保証人賞金稼ぎに至るまで、何らかの法を犯した人でなくとも該当の位置情報を把握できるそうです。

そして実際に犯罪者やストーカー等の手にその情報が渡っているとのこと。

Motherboardが電話番号から位置情報を得るために得た情報の販売経路は下記の図の通りです。

あまり知られていないことですが、アメリカの通信会社はユーザーの位置情報をしる為のアクセス権をロケーションアグリゲーターと呼ばれる会社に販売しています。

販売先の会社によっては誰でもクリックするだけで、ほぼ全てのスマホの位置情報を知ることができるサービスを展開していたそうです。

本来は自動車事故で動けなくなった顧客やクレジットカードでの詐欺対策の為に、位置情報が販売されていたのですが、実際には不正な第三者にまで情報が渡る仕組みができていたのです。

「でも特別な権限がなきゃ…」とか「闇市場で売られているんじゃ…」ということはありません。

microbiltは2.4億台のスマートフォンから個人情報は取得できると明言しています。

電話番号まで書かれていたので実際に連絡してみたところ、スマホ1台あたり4.95ドルでリアルタイムの情報だと12.95ドルだったそうです。

ちなみにMotherboardが記事を公開した時点で、このドキュメントはネット上から削除されました。

このようにプライバシーの侵害が多々起きている惨状を通信事業者に確認した所、下記のような対応が行われたとのことです。

・AT&TとT-mobileは該当の会社へのアクセス権をストップ

・Verizonはコメントを拒否

・SprintはMicroBiltとの直接の関係はない為、下記のようにコメントを発表しました。

「顧客のプライバシーとセキュリティを保護することが最優先事項であり、プライバシーポリシーでそのことについては透明性があると述べています。」

ちなみに米国政府の予算問題によるシャットダウンが起きていて、この問題について連邦通信委員会（FCC）はまだ声明を出せないようです。

maruuo