スマホの GPS と WiFi を有効にするとグーグルに特定されるぽい

 今日は仕事でお客さんのところへ。


 打ち合わせの中で地図で確認しないといけないことがあって、ちょうど机にあったパソコンを使わせてもらったんですね。
 お客さんの担当の方と一緒に、デスクトップに貼ってあった InternetExplorer(たぶん11) をダブルクリックし、とりあえずグーグルマップで・・・と思いアドレス欄に「 maps.google.co.jp 」って打ち込んだんですよ。


 そしたら・・・


http://dl.ftrans.etr.jp/?e245ccef82c7424ebbd1ff0e1d90f93cd92e1a00.png


 大人の事情でモザイク処理させてもらってますが、加工前はちゃんと鮮明な地図が表示されました。


 IPアドレスから都道府県は割れるので、県庁所在地あたりがデフォルト表示されると思いきや、なななんと、お客さんの所在地そのものが表示されているではないですか。
 ズームかけていくと中心が直線距離で100〜200メートルほどズレてはいるものの、まぁほとんどピンポイントと言って過言じゃないです。


 これにはお客さんの担当者も驚いたみたいで、別のパソコンで「maps.google.co.jp」を叩いてみても結果は一緒ということで、その驚きが恐怖に変わりました。

  • プロバイダはOCNで、固定IPでなく普通の可変IPの契約
  • ルーターは毎朝再起動を行っている(IPアドレスは毎朝変わっている)
  • ウィルスソフトは入ってるし、そもそもパソコンにGPSなんて付いてない


 可変IPなのにグーグルに特定されている


 OCN と NTT とが結託してグーグルに情報を流してる!?
 さすがにそんなことはありえないので、位置情報が流出してる原因があるはずなので調べてみましたら、ありましたよ!
 社員むけに開放してる WiFi スポット が・・・


 WiFiスポットと言っても普通の無線LANで、家庭用のそれと同じでパスワードを知った端末だけが接続できて、社内側へのネットワークには入れこめないようにフィルターしてあるもののインターネットは自由に利用できるという風になってるそうです。


 GPS 有効なスマホWiFi 利用してグーグルに位置情報が伝わった


 スマホの初期設定の途中で「グーグルが位置情報を収集するが良いか」みたいな設問があり、何気なく OK してる人が多いと思いますが、そんなスマホが紛れていたんでしょうね。
 「収集する」は露骨すぎるので、「スマホ紛失お探しサービスを利用しますか」とか「遠隔ロック機能を利用しますか」いうニュアンスの質問になってるかもしれませんが、そのどちらも位置情報を通知する前提のサービスなので・・・
 ポケモンGO がインストールされたスマホは、おそらく常時 GPS ON になってることでしょうし。。


 位置情報の収集に同意したスマホWiFi に接続して利用したことで、グーグルへ位置情報とIPアドレスの組み合わせが送信され、そのIPアドレスを起点とする端末(収集に同意したスマホに限らずGPSのないパソコンを含めた全端末)から地図表示のリクエストがあったとき、ピンポイントで周辺図を表示するというお節介をグーグルが焼いて下さるに至ったわけです。


 パソコンでなくルーターが特定されていると言った方がいいですが、この仕組みを聞いて鳥肌が立ってきませんか?


 GPS ON なスマホWiFi に接続した瞬間にグーグルに特定され、IP が変わるまでの活動はそのスマホに限らず、同じルーターの配下にあるパソコンすべて活動を捕捉されるという・・・
 スマホの固有IDも一緒に送信されているはずなので、IPアドレスを変えてもWiFi接続したら元の木阿弥になりますね。
(固有IDをキーにして、時間的に違う前後のIPアドレスでの活動履歴を結合することは容易)



 ポケモンGO に限らず GPS を利用するアプリは、その運営元に IPアドレスと位置情報を送り続けることになりますから、運営元はグーグルと同じようなことをやってみせれます。
 いや同じで済めばまだマシですが、位置情報そのものは 携帯のメルアドと同じく単独では個人情報に該当しない ので、例えば「IPアドレスから位置を調べますよ」てな商売も可能です。


 たとえ可変であっても個人がグローバルアドレスを持つこと自体が危険な時代に入りつつある気がしました。
 これまでケーブルテレビみたいなプライベートアドレスを振り出すプロバイダは格下に見なされてきましたが、セキュリティを考えると、むしろプライベートアドレスを振り出してくれるプロバイダを探して契約したほうが賢明なのかもしれません。


(まとめ捕捉)


 この3つが揃えば、グーグル(や他のアプリ運営会社)に位置情報などがもれなく伝わります。
 少なくともスマホの固有ID、グローバルIPアドレス、位置情報の3点セットは。

  • 1台でも情報を送信してしまうと、同じ配下のパソコン・スマホタブレットのネット上の行動履歴は筒抜け
  • スマホの固有IDが鍵の役割を果たす。
  • IPアドレスが変わっても「鍵スマホ」が無線LANに再接続されると過去に遡り行動履歴は結合される


 これを脅威と思う人への対策としては

  • スマホ無線LAN で利用しない(宅内につながない、通信シムのみで利用する)
  • 無線LAN を利用するならば、プライベートアドレスを振り出すプロバイダと契約する


くらいと思われ。(まぁ、それでもある程度はグーグルにストーキングされそうではあるが)