- ニュース
写真イラスト:Bagus Hernawan/Unsplash License/Cult of Macによる改変
Appleは水曜日、一部の政府がiPhoneユーザーに送信されるプッシュ通知を監視していることを確認した。当局は、様々なアプリから送信されるプッシュ通知のログを調査することで、スマートフォンユーザーとその行動に関する驚くほど詳細な情報を把握できる。
Android端末にも影響を及ぼす、これまで公表されていなかったこのデータ収集は、ロイ・ワイデン上院議員が水曜日にメリック・B・ガーランド司法長官に監視方法の開示を求める公開書簡を発表したことで公になった。
プッシュ通知のスパイが発生
「私は司法省(DOJ)に対し、アップルとグーグルが顧客や一般市民に対しスマートフォンアプリの通知記録を求めることを許可するよう強く求めるためにこの手紙を書いた」とワイデン氏は書いている。
iPhoneユーザー間のメッセージをエンドツーエンドの暗号化で安全に保護するiMessageとは異なり、アプリからのプッシュ通知はAppleが運営するサーバーを経由して送信されます。そのため、アプリは政府からの情報提供要請を受けやすくなっています。
プッシュ通知は、テキストメッセージ、電子メール、電話ほど機密性は高くありませんが、ユーザーに関する特定の情報が明らかになる可能性があります。
例えば、配達アプリやカーシェアリングサービスから送信されるプッシュ通知にアクセスできれば、当局はiPhoneユーザーの位置を正確に特定できる可能性があります。政府は複数のスマートフォンユーザー間のやり取りをつなぎ合わせることさえ可能になるかもしれません。
外国政府がAppleとGoogleにプッシュ通知のログを要求
ワイデン氏は、2022年初頭に「外国の政府機関がグーグルとアップルにスマートフォンの『プッシュ』通知記録を要求している」という情報を受け、同氏の事務所がプッシュ通知のスパイ活動の調査を開始したと述べた。
政府が個人のデバイス、アカウント、財務情報に関するデータを要求することがあるのと同様に(Apple と Google はケースバイケースで要求したり拒否したりしている)、正体不明の国々がプッシュ通知の記録を定期的に要求しているようだ。
「AppleとGoogleは、ユーザーが特定のアプリをどのように利用しているかを政府に監視させる上で、特異な立場にある」とワイデン氏は記した。「両社が受け取るデータには、どのアプリがいつ通知を受け取ったかを示すメタデータ、そして通知の送信先となるはずだった携帯電話とAppleまたはGoogleのアカウント情報が含まれる。場合によっては、アプリのバックエンド指示から、アプリの通知でユーザーに表示される実際のテキストに至るまで、暗号化されていないコンテンツも受け取る可能性がある」
iPhoneやAndroid端末に対する政府の新たなスパイ活動が明らかに
ワイデン氏の書簡は、どの国がAppleとGoogleにこのようなデータ提供を要求しているのかを明らかにしなかった。しかし、この種の監視行為は公になった。これにより、AppleとGoogleは顧客に状況を伝えることができるようになった。
「Appleは透明性に尽力しており、プロバイダーがユーザーに可能な限り多くの情報を開示できるようにする取り組みを長年支持してきました」と、同社は水曜日の声明で述べた。「今回のケースでは、連邦政府が当社による情報開示を一切禁止しましたが、この方法が公になった今、当社は透明性レポートを更新し、こうした要請の詳細を記載します。」
Apple は、法的手続きガイドライン文書 (.pdf) を更新し、法執行機関からのプッシュ通知リクエストの処理方法に関する情報を追加しました。
「ユーザーがインストールしたアプリケーションにプッシュ通知の受信を許可すると、Apple Push Notification Service(APNs)トークンが生成され、その開発者とデバイスに登録されます」と文書には記されています。「一部のアプリでは、メッセージとマルチメディアを区別するために、1つのデバイス上の1つのアカウントに複数のAPNsトークンが設定されている場合があります。登録されたAPNsトークンに関連付けられたApple IDは、召喚状などの法的手続きによって取得される可能性があります。」
Apple は、半年ごとの透明性レポートで、政府によるユーザー情報要求を定期的に開示しています。
グーグルはロイター通信に対し、ワイデン氏の「こうした要請についてユーザーに情報を提供し続けるという約束」に賛同していると語った。
またワシントンポスト紙は、グーグルがユーザーのプッシュ通知データを渡す前に法執行機関に高い基準を求めていると報じた。
「プッシュ通知やその他のコンテンツ以外の情報に関する米国からの要請については、Googleは召喚状だけでなく、司法の監督の対象となる裁判所命令が必要だと述べた」とワシントン・ポスト紙は報じた。「こうした命令では、連邦当局は、要請されたデータが進行中の刑事捜査に関連し、重要なものであることを裁判官に納得させなければならない」
ワシントン・ポスト紙は、「アップル、グーグル、アマゾンなどが作成したアプリからのプッシュ通知データを求める連邦政府の要請に関連する裁判記録の中に、20件以上の捜索令状申請書やその他の文書が見つかった」と報じた。
一部の要請は、2021年1月6日に米国議会議事堂で発生した暴動事件の捜査に関するものだった。また、他の要請は「マネーロンダリングや児童性的虐待資料の配布で告発された容疑者に関するデータを求めるもの」だったとワシントン・ポスト紙は報じている。
注: この投稿は当初 2023 年 12 月 6 日に公開されました。プッシュ通知に関する法執行機関の要請への準拠に関する Apple と Google の規則に関する追加情報を加えて更新しました。
