あなたの生理周期トラッカー(おそらく)があなたを監視している

あなたの生理周期トラッカー(おそらく)があなたを監視している

生理周期トラッカーのプライバシーの罠

スマートフォンに生理周期トラッキングアプリをダウンロードし、生理サイクルや気分の変化、さらには性生活を記録したことはあるだろうか。もしそうであれば、それらの最もプライベートなデータは、すでにサードパーティ企業によってひそかに収集・販売されている可能性がある。WIREDの最新調査によると、市販されている人気の生理周期トラッキングアプリの多くに深刻なデータ収集・共有行為が確認されており、ユーザーデータを広告ターゲティングに利用するだけでなく、データブローカー、保険会社、さらには雇用主とも共有していることが明らかになった。インストール時にこれらの不透明な同意条項にほぼ気づくことはできない。さらに懸念されるのは、これらのアプリには通常、十分な暗号化保護が欠如しており、データの送受信・保存過程でハッカーに傍受されるリスクが極めて高いことだ。

編集注:生理周期に関するデータは極めて機微な個人情報であり、一度漏洩すれば、女性が就職活動、保険加入、さらには法的紛争において差別を受ける可能性がある。ロー対ウェイド判決が覆された後のアメリカでは、このようなデータのリスクはさらに増大しており、法執行機関がこのデータを根拠に中絶行為を訴追する可能性がある。

実はこれは孤立した事例ではない。2022年の時点で、あるセキュリティ研究者が人気の生理周期アプリがユーザーデータをFacebookなどの広告プラットフォームに送信していることを発見していた。しかし5年が経過した現在も、規制の欠如と商業的利益の追求により、この問題はさらに深刻化している。WIREDの調査チームが数十のアプリのプライバシーポリシーと実際の通信トラフィックを分析したところ、生理周期トラッキングアプリの60%以上が少なくとも3つのサードパーティとデータを共有しており、一部のアプリはユーザーがアンインストールした後もデータのアップロードを継続していることが判明した。

ロシアのサイバースパイ活動がインフラ攻撃へ移行

一方、世界のサイバー戦場の焦点も移り変わりつつある。米国サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は今週、ロシアの国家支援を受けたAPTグループ(Sandwormなど)が、従来の情報窃取や影響力工作から、ウクライナおよびその同盟国のエネルギー・水道・交通システムへの破壊的攻撃へと転換していると警告した。過去3か月間で、ロシアのハッカーは産業制御システム(ICS)の脆弱性を悪用し、少なくとも2か所のヨーロッパの変電所への侵入に成功し、地域の電力供給に障害をもたらした。「データを盗む」から「インフラを破壊する」へのこの転換は、サイバー紛争がより危険な段階に入ったことを示している。

セキュリティ専門家は、ロシアのハッカーがかつてウクライナの電力網を攻撃した際の経験を応用し、NATO加盟国の重要インフラへの攻撃に拡大していると指摘する。彼らはカスタマイズされたマルウェアを使用するだけでなく、フィッシングメールやサプライチェーンの脆弱性を通じて運用ネットワークへの侵入を図っている。WIREDが内部関係者から得た情報によると、米国エネルギー省は全国の電力網の脆弱性を秘密裏に評価しているが、数十年前に設計された産業制御システムの修復には数年の時間と数十億ドルの資金が必要だという。

DHSは侵害を受けながら気づかず

自らのセキュリティが最も万全であるべき政府機関においてさえ、脆弱性は深刻だ。米国国土安全保障省(DHS)の内部監査報告書によると、同省は過去3年間に少なくとも17件の重大なセキュリティインシデントを及時に把握できておらず、一部の侵入活動は数か月間にわたって継続していた。最も呆れる事例として、DHSのサイバーセキュリティチームがハッカーからのランサムウェア通知をテスト用メールと勘違いし、14万人の職員の個人情報を含むデータベースが窃取されてから2週間後に発覚するという事態が起きていた。WIREDが入手したこの報告書によると、DHSには統一されたログ監視システムが欠如しており、傘下の各機関間で情報が共有されていないため、攻撃者が運輸保安局(TSA)の脆弱性から移民・関税執行局(ICE)のネットワークへ横展開することが容易になっている。

この官僚主義的な混乱は衝撃的だ。DHSは米国のサイバーセキュリティを守る最重要機関であるにもかかわらず。アナリストは、これらの事案が露呈しているのは技術的な欠陥ではなく、深層的な管理機能不全だと指摘する——権限者が予算配分と優先順位において高価なファイアウォールの導入を優先し、最も基本的なセキュリティオペレーションのプロセスを軽視してきたのだ。

AI音楽生成ツールのデータ無断収集問題

人工知能分野でも波紋が広がっている。「MelodyForge」という名の人気AI音楽生成ツールが、クリエイターの許可なく、各音楽プラットフォームから著作権で保護された100万曲以上を無断でスクレイピングしてモデルの学習に使用していたことが明らかになった。これらの楽曲には多くの著名アーティストの作品が含まれている。WIREDの調査によると、同社のデータスクレイピングツールはプラットフォームのボット対策やライセンス契約上の明確な制限を回避しており、一部の未公開デモ音源まで収集していたことが判明した。

この発覚は、AI学習データの合法性をめぐる激しい議論を再び引き起こした。一部の企業は「フェアユース(公正利用)」を主張するが、アーティストやレコード会社はこれは窃盗に等しいと反論している。米国著作権局はヒアリングを実施する意向を示しており、EUもより厳格な学習データの透明性規制の策定を検討している。WIREDはこう評した:AIの創造性が他者の労働成果を無視した上に成り立っているとすれば、その「音楽」は巧みな模倣に過ぎない。

本稿はWIREDより編訳