この記事は米国版ニュースレターを一部再編集したものです。
インターネットにつながっている端末が自宅にいくつあるか、把握しているだろうか? きっと、把握し切れていないだろう。今日では、サーモスタット、テレビ、電球、エアコン、冷蔵庫など、ありとあらゆるものがインターネットにつながっている。だが、この事実よりも私を驚かせたのは、私がこの数週間に交わした会話で知ったことだ。上述のインターネットにつながった家電が、どれほどの量のデータを出力しているのか。そしてどれだけの人が、希望すればそのデータを確認できるようになっている人がどれだけいるのかということだ。
私は、 「IoTフォレンジック」という分野で仕事をしている人々と話をしてきた。IoTフォレンジックとは端的に言えば、IoT機器の周辺を嗅ぎ回り、データ、ひいては問題解決の手がかりを見つける作業だ。米国の司法当局や裁判所が、IoT機器のデータをあからさまに参照することはあまりないが、IoT機器は証拠固めをする上でますます重要な存在になっている。犯罪現場に置かれていたIoT機器には、肉眼では見えない秘密が隠されていることがあるからだ。誰かが照明を消した時刻、コーヒーを淹れた時刻、テレビをつけた時刻、といった秘密が、捜査の要点になったりするのだ。
マッティア・エピファニからも、そんな話を聞いた。彼は、自身がハッカーだと名乗ることはないが、警察がある機器からデータを取り出せるかどうかを調べたいときに相談する相手である。エピファニは、SANSインスティテュート(SANS Institute)のデジタル・フォレンジック・アナリスト兼講師であり、イタリアに本拠を置く情報セキュリティ・コンサルティング企業であるリアリティ・ネット・システム・ソリューションズ(Reality Net System Solutions)の最高経営責任者(CEO)としても活動している。これまでに、世界中の弁護士、警察、個人顧客と仕事をしてきた。
「いつも頭から離れません。機器を目にするたび、どうすればここからデータを取り出せるだろうかと考えてしまうのです。もちろん、必ず、テスト用デバイスを使うか、承認を得た上で着手するのですが」とエピファニCEOは言う。
警察が捜査のために押収する機器といえば、スマートフォンとコンピューターが最も一般的だ。だが、エピファニCEOは、犯罪の証拠はどんな場所からでも出てくる可能性があると話す。「位置情報かもしれません。メッセージかもしれません。画像かもしれません。何でもあり得ます。あるいは、ユーザーの心拍数や歩数かもしれません。しかも、ここで挙げたような情報がすべて、基本的には電子機器に保存されているのです」。
たとえば、サムスンの冷蔵庫はどうだろう。エピファニCEOは、コロラド州デンバー近郊を本拠地とするデジタル・フォレンジックの研究所であるVTOラボ(VTO Labs)のデータを使って、スマート冷蔵庫がその所有者に関する情報をどのくらい保持しているのかを調べた。
VTOラボは、テスト・データを投入したサムスンの冷蔵庫のデータ・ストレージ・システムをリバース・エンジニアリングした。そして、冷蔵庫からデータを取り出し、研究者が使えるようにデータベースのコピーをWebサイトに公開した。VTOラボのスティーヴ・ワトソンCEOによると、本体の内部だけでなく外部、アプリ、クラウド・ストレージなど、冷蔵庫がデータを保存できる場所をすべて突き止めることも作業の一環だという。その作業が済むと、エピファニCEOはデータの分析と分類、ファイルの精査に取りかかった。
見つかったのは、個人情報の宝庫だった。エピファニCEOは、冷蔵庫の近くにあるBluetooth機器の情報、家庭用Wi-Fiネットワーク、メールアドレスなどのサムスンのユーザー・アカウント情報、温度と位置情報データ、エネルギー使用量を1時間ごとにまとめた統計データを発見した。冷蔵庫は、ユーザーがアイハートラジオ(iHeartRadio)アプリで音楽を再生した時刻を示すデータも保存していた。冷蔵庫内蔵の小型カメラのおかげで、庫内の棚にあったダイエット・コーラやスナップル(Snapple)の写真まで確認できた。さらに、一元化した個人アカウントや家族の共有アカウントを介して、ユーザーが冷蔵庫をサムスン製の他の機器に接続していると、冷蔵庫はさらに多くのデータを保持できることも分かった。
この冷蔵庫を購入するときに、こうした事柄は必ずしも隠されていたり公表されていなかったりするわけではない。だが、もし自分が捜査対象になったら(もちろん令状がある場合だが)、チーズを漁ろうと冷蔵庫を開くたびにお腹を空かせた顔つきを警官に見られることになるとは考えもしないはずだ。サムスンは本誌のコメントの要請に応じなかった。だが、このシステムはIoTの世界ではごく一般的な慣習に従ったものだ。この種の機器の多くは、同じような種類のデータを取得し、保存している。
VTOラボのワトソンCEOと、リアリティ・ネット・システム・ソリューションズのエピファニCEOによると、特別に高性能な機器でなくても、犯罪捜査に役立てることができるという。
彼らはどちらも、スマート冷蔵庫よりも目立たない機器を扱ってきた。VTO ラボは、薬物密輸の売人が商品を運ぶときの動きにかかわる何かしらのデータを保存していないか確認するために、海洋ブイの回路基板を調べたことがある。ワトソンCEOによると、回路基板から衛星通信プロバイダーが判明し、最終的には密輸業者に紐づく口座番号が分かったという。
ただでさえ大きいセキュリティとプライバシーのリスクは、多くのIoT機器が使用している時代遅れで安全性の低いオペレーティング・システムによってさらに膨らむ。まめにアップデートをするユーザーなどほとんどいないからだ。「冷蔵庫をアップデートするなんて考えられますか。まさか、誰もそんなことは想像もしません」とエピファニCEOは話す。
インターネットにつながる機器が家にあふれるにつれ、この問題も大きくなる一方だ。先日、アトランティック誌が、ソファに座りっぱなしの視聴者からスマートテレビが収集するデータについてまとめた優れた記事を公開した。本誌のアイリーン・グオ記者は、製品をテストしている人に関するデータを収集する方法を調査し、ロボット掃除機ルンバが盗撮することを明らかにしたことがある。
ワトソンCEOは、政府やテック企業が家庭用サーモスタットを通してスパイ行為をすること自体は特に懸念していない。それよりも、データがデータ・ブローカーに売られ、蓄積されていくことを心配している。
「人々に理解されていないリスクがそこにあります。ベッドが私の睡眠状態と心拍数を追跡し、そのベッドのメーカーが情報を保険会社に売り払っているとしましょう。保険会社は、私が眠るたびに心臓に何かしらの症状を起こしているとか、私が睡眠時無呼吸症候群などの持病を持ってるといったことを把握してしまうのです」。
「あらゆる面で私たちの生活に侵入するテクノロジーが増えています。データがどこへ行くのか、どれだけ集められるのか、誰がそれを手にし、それを使って何をしているのか、私たちには一切コントロールのしようがありません」。
◆
テック政策関連の注目研究
ツイッター(X)のアルゴリズムは、人の怒りの火に油を注ぐ政治的なツイートを増幅させる。コーネル・テック(Cornell Tech)とカリフォルニア大学バークレー校の研究者が、4月末にコロンビア大学の「ナイト憲法修正第1条研究所(Knight First Amendment Institute)」で発表した最新の研究論文の中で指摘した。
研究者は、投稿時間順にツイートを流すだけのツイッター・フィードと、エンゲージメント(ユーザーがツイートに対して何らかの反応を示した回数)を優先するアルゴリズムで投稿を並べ替えたフィードを比較した。その結果、アルゴリズムが選び出した政治的なツイートを見た人は、自分と異なる見解を持つグループに対する反感を強めることが分かった。
当然のことと思えるかもしれないが、アルゴリズムが政治的分断をどれほど深め得るかということを明確に実証したのはこの論文がほぼ初めてである。またユーザーは、一般的なツイートを見るときはパーソナライズされたタイムラインを好むが、政治的なツイートを見るときはそれを好まないという発見も興味深い。この結果は、怒りを招く政治的な投稿の押し付けをユーザーが望んでいないことを示している。今回の研究は、ソーシャル・メディアが政治的二極化に対して果たす役割について進行中の議論への重要な貢献である。