キヤノンMJがお届けする安全なデジタル活用のためのセキュリティ情報 サイバーセキュリティ情報局 ESET スマホは私たちの会話を盗聴しているのだろうか

沿って : Ilikephone / On : 26/03/2023

スマートフォン(以下、スマホ)が広告展開を目的に、日々の会話を盗聴している可能性があるとはよく言われる。しかし、こうしたことが本当に行われているのだろうか。これまで、このような噂を気にかけてテストしてみたことはあるだろうか。スマホから盗聴されていることを前提に、敢えて声に出して友人と話をした製品(例えば、真空パック包装機や香り付きこし器といった製品)に関する広告が、自らのソーシャルメディアのコンテンツとして表示されるか、チェックしたことはあるだろうか。いつまでたっても表示されない場合、気づけばそのテスト自体を忘れてしまうかもしれない。また、実際に表示されたのであれば、自らのスマホが盗聴していることを確信し、プライバシー侵害が実際に起こっているという判断を下すのだろう。

ソーシャルメディアのアプリが盗聴しているかどうかについては多くの議論が交わされている。自らの日常会話に関連するコンテンツが、フィード内に実際に表示されていると指摘をする人も少なくない。しかし、世界のほとんどの国で、ユーザーの許諾なしにこうした行為に及ぶのは違法であり、企業が実施することは難しい。

そこで、私(ジェイク・ムーア Jake Moore)は、Twitterユーザーがこの問題についてどのように考えているのか、そして人々は自身のスマホあるいはアプリが盗聴されていると感じるかどうかというアンケートを実施した。234の回答結果の中で、約80%が自らのスマホは盗聴されていると回答したことは興味深い結果となった。特に、私のフォロワーと、インフォセック(InfoSec)社のコミュニティからのリツイートの回答ではその傾向がより顕著だった。

ここで、実際に盗聴ができるのかどうかという点について考察してみたいと思う。まず、このこと自体が大きなスキャンダルであるという点は頭の片隅に置いておく必要がある。実際、こうした事態が明らかになった場合、関係するオンラインサービスは非難を浴び、企業はビジネスの継続を断念させられることになる。

スマホが私たちの会話を盗聴するとして、どれほど莫大なメモリーの量が必要になるだろうか。一般的な会話を音声として録音する場合、一時間あたり約115メガバイト(モノラル、15ビット深度で計算)が必要になる。そして、通常は平均15時間起きていると仮定する(睡眠中の寝言などは録音されないという前提である)。

また、私たちは一日中会話をしているわけではない。そこで15時間の内、四分の一を会話しているという設定にする。そうすると、私たちは一人あたり一日約430メガバイトのデータ量を消費するという結果になる。Instagramには現在8億人のユーザーがいる。従って、Instagramのユーザー全ての会話を毎日録音するには、約344ペタバイト(10の15乗バイト)のメモリーが保存のために必要となる。これを考慮すると、現在のペースでは世界中で毎日2,500ペタバイト(10の18乗バイトあるいは2.5エグザバイト)のデータが生成されることになる。ソーシャルメディアのプラットフォーム側で幾分か圧縮されたとしても、このような膨大なデータを本当に処理することが可能なのだろうか。

冷静に考えてみれば、ソーシャルメディアがこれほどのデータ量を取り扱うことは現実的ではなく、調べることもできないだろう。他の方法で個人を分析する、あるいはすでにオンライン上にある個人のデータからプロファイリングする方がはるかに容易である。例えば、年齢(入力した生誕日から、あるいは年齢を推定可能なソフトウェア経由で)、性別、関心を判別可能な写真による分析、投稿のタイトル及びハッシュタグ、「いいね」を押した投稿、投稿に費やす時間などが挙げられる。

ソーシャルメディアのアルゴリズムはさらに、独身か既婚か、勤務状況、子供・ペットの有無、車の所有状況、ファッションのスタイル、趣味、将来の興味、などを判別することができる。このリストはほぼ無限にあると言っていい。そして、ソーシャルメディアはユーザーが購入を検討するよりも前の段階で、次に何を購入するか豊富な情報から推定することが可能ですらある。

ソーシャルメディアの分析を取り巻く考えとして、会話内容をモニターされたくない場合、アプリのマイクをオフに設定すべきだとされる。Instagramでマイクをオフにすると、ストーリーに投稿できなくなるが、これは大したことではないので、テストを実施することにした。

第一弾のテスト

広告配信の注目を集め、より正確なテストとなることを目指し、私はスマホのマイクを2週間の間、オンにしてみた。そして、過去に話したことのない、以下3つのランダムなテーマについて不作為に(かつノリよく)はっきりと会話をしてみた。

キヤノンMJがお届けする安全なデジタル活用のためのセキュリティ情報 サイバーセキュリティ情報局 ESET スマホは私たちの会話を盗聴しているのだろうか

以下は私が実際にインスタグラムで受け取った広告である。

ビニールプールに入りながらGUCCIのヒールを履き、アボカドを載せたトーストを食べることを心から望んでいたのに、ヴィーガンの食事、ハイヒール、または裏庭にスイミングプールを作る方法に関する広告を得ることはできなかった。

広告には会話の内容は反映されなかったが、それでも配信された広告には関心をひかれた。私が先述の製品に興味があり、どこかのタイミングで購入する可能性があると想定するのは難しいことではない。私のInstagramからは、私が30代後半、既婚で子持ち、アウトドアや特にエクストリームスポーツが好きであることが容易に判別できる。

しかし、関心があるのは、私が最近、先述の製品などについて会話したかどうかだ。おそらく、それらが配信されたということは、何かしら理由があるものと考えられる。以下、なぜそれぞれの広告が配信されるに至ったのか、私の推測を述べる。

スノーボード用ゴーグル

近々、スノーボードに行く予定があるとさまざまな人と会話したが、アプリはそれらを聞いていたのだろうか。そうではなく、スノーボードメーカーを複数フォローし、定期的に彼らの記事に「いいね」をしていたことが理由だろう。さらに、この記事の執筆時期は2019年12月だったので、北半球(Instagramはスマホの位置情報とプロファイル上の住所情報から判別)はウインタースポーツの真っ盛りでもある。

咳止め薬

このテストは2019年12月に実施した。そして、私は実際に少し咳をしていた。しかし、その時点では多くの人が風邪を患っていた。さらに、この薬の広告が多く配信される時期でもあった。同時期にテレビ上でも咳止めの広告が流れてもいた。しかし、テレビ広告が私たちのようなターゲットの会話を利用したと考えるには時期尚早といえる。

フォルクスワーゲンの車

私は38歳の若い家族持ちで、アウトドアを趣味としている。それはすなわち、フォルクスワーゲンの車を好む購買属性に該当する。

第二弾のテスト

次に、私がInstagramのマイクを2週間オフにすると、以下のような広告が配信された。

スノーボード旅行用のバッグは私が以前所有していたものと似ていた。Hophouseビール、スーパーのチーズボードとCadburyチョコレートは、クリスマスの2週間前という時期にふさわしいものだろう。Nikeのシューズについては、私が最近オンラインでNikeシューズを購入していたことや、Facebookにログインして閲覧していたNikeのシューズのページなどから収集されたものだと想定される。

私たちが認識しなければならないのは、これら企業が私たちについて、多くの情報を得ているという事実だ。彼らのアルゴリズムはビジネスを強化し、利益をもたらしている。アルゴリズムは私たちを結びつけるためにあるわけではない。単純に売り上げを増やすために存在し、マイクロターゲット広告*経由でターゲットを拡大するためだけに存在している。私たちの許可なく、彼らが盗聴することは法律的に禁止されている。しかし、彼らが盗聴していることを「証明」しようとする人々が提示する事例からはそう思えてしまうのかもしれない。ある人はさほど気にならないと言い、またある人はプライバシー侵害だと考えてしまう。Amazonは広告品質の最適化のために、あくまで記録を目的として、Alexa経由で音声を拾うことについてオプトインを求めている。

* ターゲットのデータを詳細に分析し、特定のターゲットに合った広告を表示することによって効率的にマーケティングを行う手法

誰が何のデータを所有しているのか?

私にとって、大きな疑問がいくつか存在する。Facebookは、私たちがWhatsApp、Facebook MessengerやInstagram Direct Messageなどのメッセージアプリの送受信内容をチェックできるのだろうか。これらは全てFacebook傘下のものだ。そこで次のような疑問が生じる。これらのサービスを経由して送信されるメッセージは、第三者(司法機関や政府など)による盗聴から保護するために暗号化されている。しかし、Facebookはメッセージの内容をチェックし、ユーザーへの広告配信のターゲティング強化のために利用していたりするのだろうか。

何が起きていたとしても、彼らの貴重なアルゴリズムは見事としか言いようがなく、どのように機能するか、どれほど私たちのことを把握しているかについて、ほとんど知る由がない。ただし一つだけわかることがある。それは、大量で関連性があり、さらにパーソナライズされた、巨額の富に匹敵する膨大なデータを収集しているということだ。私たちはこれらのサービスを無料で利用する限り、これらのサービスの商品とされているということをしっかりと頭に入れておきたい。