スマートフォンの利用中に、「まるで会話を聞かれているかのように、話していた内容の広告が表示される」という経験はありませんか?
多くのユーザーが、この「スマホが会話を盗聴しているのではないか」という懸念を抱いていらっしゃいます。ある調査では、ユーザーの約80%がこの誤解を抱いていると報告されているほどです。
しかし、この疑問には、「事実ではない部分」と、私たちが注意すべき「事実である部分」があります。
言い換えれば、
「高度なターゲティング広告技術によって、まるで盗聴されているように感じられるが、実際には盗聴をされていないケース」
と、
「マルウェアによって実際に盗聴されているケース」
があるのです。
それぞれ、必要な対策は異なります。この記事では、この両方を詳しく解説します。
1. 「スマートフォンが会話を盗聴している」は事実ではない部分(誤解)
まず、結論から申し上げますと、スマートフォンやソーシャルメディアのアプリが、皆さんの日常会話を直接盗聴し、その内容に基づいて広告を配信しているという認識は、ほとんどの場合、誤解です。
なぜ直接盗聴は行われないのか?
技術的に「盗聴されていない」ということを証明してお見せするのは、実はきわめて困難です。
24時間、通信経路のすべての装置を監視し続けることは不可能です。
「されていない証明」って、一般に難しいのです。
ですが、「盗聴されている」が「誤解である」ということを納得できるために、次のようなことを考えてみていただくのはどうでしょうか。
- 盗聴は言い訳の効かない違法行為であること:
世界のほとんどの国で、ユーザーの許諾なしに会話を盗聴し、その情報を使用することは法律で禁じられています。もし企業がこのような行為を行っていたと判明すれば、ビジネスの継続が困難になるほどの大きな問題に発展するでしょう。 - 技術的にほぼ無理です:
私たちの会話を常に録音し、分析するには、莫大な量のメモリと処理能力が必要になります。例えば、Instagramの全ユーザー(8億人)の会話を毎日録音する場合、約344ペタバイトものメモリが必要になるとされており、ソーシャルメディアのプラットフォームがこのような膨大なデータを処理することは現実的ではありません。主要な広告プラットフォームも、会話を認識してターゲティングに利用する機能を公式には備えていません。 - 広告配信のためには、ケタ違いに簡単なほかの方法があります:
実は、ソーシャルメディアは会話を盗聴するよりもはるかに容易な方法で、皆さん個人を分析し、プロファイリングしています。これは、オンライン上にあるさまざまな個人データが活用されているためです。
盗聴されている気がしてしまうほど高度な「ターゲティング広告」
では、盗聴されていないとすれば、なぜ広告が「まるで会話を聞いていたかのように」関連性を持って表示されるのでしょうか?
それは、皆さんのスマートフォンやパソコン上でのさまざまな行動が追跡・分析されているためです。
ソーシャルメディアのアルゴリズムは非常に高度で、ユーザーのオンライン行動から多岐にわたる情報を推定できるのです。
収集されるデータ例として、以下のようなものがあります。
- 年齢、性別、関心:
入力した生年月日、年齢推定ソフトウェア、写真分析、投稿のタイトル、ハッシュタグ、いいねを押した投稿、投稿に費やす時間などから判別されます。 - ユーザーの社会的状況や立場:
独身か既婚か、勤務状況、お子様やペットの有無、車の所有状況、ファッションのスタイル、趣味、将来の興味なども判別可能です。 - 購入傾向:
皆さんが次に何を購入するかを、購入を検討するよりも前の段階で推定することすら可能だと言われています。
サイバーセキュリティの専門家であるジェイク・ムーア氏の実験でも、このことが示唆されています。
彼はマイクをオンにした状態とオフにした状態で、普段話さないようなテーマについて会話しました結果、表示される広告のジャンルは変化しなかったということです。
どちらの場合も、彼の既存のプロフィール(30代後半、既婚、子持ち、アウトドアやエクストリームスポーツ好き)や時期的な要因(冬のウィンタースポーツ、風邪の流行期)に関連する広告(スノーボード用ゴーグル、フォルクスワーゲン車、咳止め薬など)が表示されたとのことです。
広告代理店の方も、noteに同様の見解を書かれています。
会話を直接聞いてターゲット広告を出す機能は公式には備わっておらず、またそのような機能は実際には難しいこと。
広告代理店の立場から、「会話した内容に関連した広告が表示される」原因を推定すると、
1.その場で音声検索をし、検索結果に基づいてターゲティングされた
2.LINEやMessengerなどで会話に関係があるURLを受け取ってタップしている
3.会話に関連するSNSの投稿を見て、いいねやリポスト、ブックマークなどのリアクションをしていた
4.そんな会話はしなくても、年齢や性別などの属性から、同じ広告が出る対象だった
ターゲティング広告の種類と具体例
ターゲティング広告には、ユーザーのデジタル行動データに基づいて、さまざまな種類が存在します。
- リターゲティング
過去に自社サイトを訪問したユーザーを対象に広告を配信し、再訪や購入を促します。例えば、オンラインショップで一度見た商品が、別のサイトを閲覧しているときに広告として再表示されるケースです。 - 行動ターゲティング
サイト訪問、商品の購入、資料請求、広告クリックといったユーザーの具体的な行動履歴に基づいてターゲットを絞り込み、関心を高精度に反映した広告を配信します。例えば、スポーツ用品のウェブサイトで特定のブランドのシューズを何度も閲覧した場合、そのブランドのシューズの広告が表示されるようになります。 - サーチキーワードターゲティング
特定のキーワードを検索したユーザーに広告を配信し、リアルタイムの強い関心に訴えかけます。例えば、「旅行先のおすすめ」と検索すると、旅行会社の広告や特定の地域のホテル広告が表示されることがあります。 - ジオターゲティング
GPSやIPアドレスを利用した位置情報に基づいて、「現在近くにいるユーザー」や「毎日通勤しているユーザー」など、地理的な条件で広告を配信する手法です。例えば、特定の地域にいるときに、その地域の飲食店や店舗の割引情報が届くことがあります。 - サイトターゲティング
特定のウェブサイトの訪問者の興味に合わせて広告を配信します。 - 類似ユーザーターゲティング
既存顧客のデータや行動履歴を利用して、新規顧客を獲得したり、潜在的な層にアプローチしたりする手法です。 - オーディエンスターゲティング
ユーザーの興味やニーズに基づいて広告を配信する広範な概念です。
ターゲティング広告を必要以上に恐れる必要はありません
当店にスマホのことでご相談に来られる多くの方が、ターゲティング広告を「怖い」と感じ、なかには「恐ろしいのでスマホを触れない」という方もいらっしゃいます。
そのお気持ちはたいへんもっともなものです。
教えたつもりのない情報や、知られたくない情報に基づいて、どんどん広告が出てくるなんて、身の毛もよだつ体験です。
ですが、その恐怖感が強すぎて、せっかくスマホをお持ちなのに必要な機能が使えず、大きなストレスを感じている方もいらっしゃいます。
そんな方に、申し上げているのは次のようなことです。
ターゲティング広告を必要以上に恐れる必要はありません。
ターゲティング広告は、
「いまスマホやパソコンを操作している、『その人』についての情報を推定する」技術です。
「あなたという特定の個人(例えば山田太郎さんや上田花子さん)を特定して、その人物についての情報を収集し、データとして蓄積するものではありません。
スマホを触っていて、自分の興味関心や、過去に購入した商品に関する広告が矢継ぎ早に出てくる状況というのは、たいへん気持ちが悪いものです。
ですが、スマホを機種変更したり、アプリを入れなおしたり、あるいは、他のスマホやパソコンを借りて操作しているときまで、追いかけてくるものではありません。
まして、あなたについて陰で誰かがうわさをしていたり、ある日突然、あなたについて知り尽くした人物からメールが来たりするようなものではないのです。
「生きた生身の自分自身」と、スマホの先にいるウェブサイトが見ている「スマホを操作しているユーザー」は、同じではありません。区別して考えていただいて大丈夫です。
そのように考えて、感じておられる「気持ち悪さ」や「恐怖感」がいくらかでも和らぐようでしたら、どうぞ、その新しいお考えに従って、スマホの必要な機能を存分に活用していただければと思います。
自分についての情報を与えない、ターゲティング広告の回避方法
とはいえ、ターゲティング広告は、それが「あなた」であることは知らないけれど、しかし、あなたについての情報を推定し、収集し、まあつまりそれで稼ごうとしていることは間違いないわけです。
そこで、ターゲティング広告によるプライバシー懸念を軽減するために、以下の対策を講じることができます。
- アプリの権限管理を徹底する:
- アプリが要求するマイク、位置情報、カメラへのアクセス権限を定期的に見直し、不要なものは「許可しない」または「アプリの使用中のみ許可」に設定しましょう。
- Androidデバイスでは、一定期間使用されていないアプリの権限を自動的に削除する機能も活用できます。
- 位置情報設定を最適化する:
- SNS投稿時に位置情報を付与しない設定をすることができます。
- アプリに提供する位置情報の精度を「正確な位置情報」から「おおよその位置情報」に切り替えることが可能です。
地図アプリなど正確な位置情報が必要な場合を除き、せいぜい、「近隣の飲食店を検索する」「SNS投稿の「場所」のタグ付けに使う」程度ですから、おおよその位置情報で十分なケースがほとんどだと思います。
- ブラウザのプライバシー設定を見直す:
- お使いのブラウザ(Safari,Chromeなど)の設定画面の「プライバシー」などの項目を開くと、「Cookie」の設定が出てきます。Cookieをすべて拒否してしまうと、ショッピングサイトなどにログインすることができなくなってしまうのですが「第三者Cookie」「サードパーティCookie」を拒否すると、プライバシーが向上します。
また、トラッキング防止機能、広告ブロックなどの設定を行うことで、広告のトラッキングを回避することができます。
- お使いのブラウザ(Safari,Chromeなど)の設定画面の「プライバシー」などの項目を開くと、「Cookie」の設定が出てきます。Cookieをすべて拒否してしまうと、ショッピングサイトなどにログインすることができなくなってしまうのですが「第三者Cookie」「サードパーティCookie」を拒否すると、プライバシーが向上します。
- SNSのプライバシー設定
- 各種SNSの設定メニューで「プライバシー」などの項目を開くと、「パーソナライズ広告」「カスタマイズ広告」などの設定項目があります。これをオフにすると、いいね、リポスト、ブックマークなどの行動をもとに推定した広告は出なくなります。
- 広告のパーソナライズ設定をオフにする:
- Google: 広告のカスタマイズ設定にアクセスし、広告のパーソナライズをオフにできます。
- Yahoo!: 広告の最適化設定にアクセスし、「最適化しない」にチェックを入れましょう。
- LINEやTikTokなど、ほとんどの広告サービス: 「プライバシー設定」や「広告」関連の項目から、行動履歴が広告に利用されることを拒否することができます。
リストにまとめましたが、実際にはひとつひとつ、アプリやサイトごとに細かな設定があるため、ここにすべてをご紹介しきれません。追って、主要なサイトやアプリについては別の記事でご紹介していこうと思います。
2. 「スマートフォンが会話を盗聴している」は事実である場合について(マルウェアによる盗聴)
合法的なアプリが広告目的で会話を盗聴することは極めて考えにくいですが、実は、マルウェアなどの悪意のあるソフトウェアは、実際に盗聴をおこなっている場合があると報告されています。
マルウェアの存在と危険性
スマートフォンに侵入したマルウェアは、皆さんの許可なく、または意図しない形でデータを収集する能力を持っています。
- スパイウェアやランサムウェアなど、一見無害なアプリに偽装したマルウェアが増加しており、これらは、私たちが気づかないうちにデータを収集する危険性があります。
- もし悪意のあるアプリにマイクへのアクセス権限を付与してしまった場合、そのアプリがユーザーの会話を録音し、外部に送信する可能性は否定できません。
「通信の秘密」と、違法・脱法マルウェアによる窃取
携帯電話回線を通じた通信(通話やメッセージなど)は、一般的に「通信の秘密」によって保護されています。
日本の法律では、憲法第21条第2項で「通信の秘密は、これを侵してはならない。」と明記されており、電気通信事業法第4条によってその秘密が保障されています。
これにより、電気通信事業者が取り扱う通信の内容は、個人の同意なく傍受、開示されることは原則として禁じられています。
例外として以下の場合が定められています。
刑事訴訟法に基づく令状がある場合や、電気通信事業者が緊急の事態(人の生命、身体または財産に対する重大な危険を回避するためなど)において必要最小限の範囲で通信を傍受する場合など、ごく限られた例外が法律で定められています。
> 犯罪捜査のための通信傍受に関する法律
> 個人情報保護法 第21条2項
> 電気通信事業における個人情報等の保護に関するガイドライン 第9条2項
つまり、通常の電話回線やインターネット回線を通じて行われる音声通話の内容は、この「通信の秘密」によって法的に保護されているため、企業などがこれを無断で盗聴することは日本の法律で厳しく罰せられます。
また、LINE、Messengerなどのメッセージアプリで送受信されるメッセージは、第三者による盗聴から保護するために暗号化されています。通信をインターネット上で傍受したからといって、通話が盗聴できるわけではありません。この暗号化技術により、一般に公開されているインターネットを経由して、「通信の秘密」を保護した状態で通信が可能になっています。
しかし、注意すべきは、マルウェアが携帯電話回線に乗る前の、つまりデバイス上で会話の音声を窃取した場合、これは「通信の秘密」の対象外となる可能性があるという点です。マルウェアが独自のルートで音声を外部に送信してしまえば、それは事実上の「盗聴」となってしまいます。
実際にマルウェアによる盗聴が行われた、または盗聴が可能であった事例
・国家レベルの監視に悪用された「Pegasus」(ペガサス)
Pegasusとは【用語集詳細】| SOMPOサイバーセキュリティ
・多機能RAT(トロイの木馬)「Dark Crystal RAT (DCRat)」による情報収集
Dark Crystal RATマルウェア | BROADCOM
ウクライナのインフラ施設を狙ったDark Crystal RAT | セキュリティ対策Lab
・企業を狙った標的型攻撃に利用された「PlugX」(プラグエックス)
米国司法省によるPlugXマルウェアネットワークの解体 | CYBERSCOOP
これらに共通するのは、マイクの権限のみでなく、デバイスの広範な操作権限を奪取することにより、幅広い情報の窃取や遠隔操作が可能であったことです。
こうした脅威から身を守るために重要なポイントを挙げていきます。
まずは、マルウェアの侵入を許さないこと
まずは、マルウェアの侵入を許さないことです。
- 発行元の確認できないアプリをインストールしない
- メール内のリンクを開かない
- ウイルス対策アプリをインストールする
「ウイルスに気を付ける」と一般に言われますが、当店ご相談事例からみると、「気を付けたからといって侵入を防げるわけではない」ことに注意が必要です。
「気を付けているつもり」の方の多くが、実際には簡単にマルウェアの侵入を許してしまう状況にあると考えていただいた方がよいです。
- (Android端末)Playストアの外からアプリをインストールしない
- メール内のリンクは、本物か偽物かを問わず原則としてクリックせず、自分でそのサイトやサービスを開いて、メールで言われている内容が実際に表示されるか確認する
- 画面をよく見て、理解してから操作する。理解できない場合は、操作をストップする勇気を持つ
とくに、最後の項目、「画面をよく見て、理解してから操作する」が、できない方がほとんどです。
その結果、なんとなく画面を信用したままドンドンと操作を進めていき、気が付けばマルウェアをインストールしてしまっている場合が大変多く見受けられます。
AIを利用した巧妙な偽サイトに注意
最近は、偽サイトの技術も高度化してきています。
- デザインが本物そっくり
- 言葉に不自然な点がない
AIを活用した「ディープフェイクフィッシング」など、音声や動画を偽造して金銭や情報を要求する新たな脅威にも注意が必要です。
「なんとなく本物っぽい」「偽物っぽい」では偽サイトを見抜くことはできません。
最も有効な見抜き方は「ドメイン」の確認方法を理解することです。こちらも、ただ「本物と同じ文字列が入っているかどうか」ではないことにご注意ください。きちんとルール通りに解読すれば、偽サイトは見抜くことができます。
ドメインよりも前の部分(「サブドメイン」)は、ドメイン所有者であれば、自由に好きなものをつけることができます。
例えば当店だって、「kantei.go.jp.curio-shiki.com」というアドレスでホームページを公開することが、技術的には超簡単にできてしまいます。
ですから、「最初の / の直前」部分を確実に確認することが重要なのです。
アプリをインストールする前に確認するべき事項
アプリをインストールする前には、必ずそのアプリのレビュー、開発元の信頼性、そして要求される権限をよく確認しましょう。不必要な権限を要求するアプリや、開発元が不明なアプリは避けるのが賢明です。
信用できないメーカーや提供元のアプリは、そもそもインストールしないことが最も根本的な対策です。
「無料なのに機能がすごいアプリ」という場合、そのアプリは、なにか別の手段で対価を得ている場合があります。有料オプションがあったり、広告が出たりするアプリはまだ良いと考えた方がよいくらいです。「タダほど高いものはない」という格言は真実です。
対策としての権限付与の注意点
続いて重要なのは、アプリの権限管理を徹底することです。特に、以下の権限をアプリに付与する際には、細心の注意を払いましょう。
- マイク(通話)の権限:
- アプリにマイクへのアクセスを許可すると、そのアプリは音声の録音が可能になります。
- 電話アプリや音声通話アプリなど、本来マイクが必要なアプリであれば、もちろん「許可」するべきです。
- しかし、それ以外で「通話」や「マイク」の権限を要求された場合は、「不必要な権限を要求する、あやしいアプリかもしれない」という目で確認することが必要です。
- メールやSMSの権限:
- アプリにメールやSMSへのアクセスを許可すると、そのアプリは皆さんのメッセージ内容を読み取ることができます。これは直接的な「盗聴」ではありませんが、プライバシーの侵害につながります。
- 迷惑SMSフィルターアプリ、メールアプリなどでは、当然この権限は「許可」することが必要です。
- しかし、それ以外で「メール」「SMS」の権限を要求された場合は、「不必要な権限を要求する、あやしいアプリかもしれない」という目で確認することが必要です。
補足:公衆Wi-Fiの危険性
無料で手軽に利用できる公衆Wi-Fiは非常に便利ですが、その利便性の裏には、深刻なセキュリティリスクが潜んでいます。
無料Wi-Fiに潜む落とし穴
街中やカフェなどで提供されている無料Wi-Fiは、誰でも気軽に接続できる反面、その安全性は必ずしも保証されていません。
公衆Wi-Fiに接続すると、そのネットワーク内を流れるデータは、適切に暗号化されていない場合、第三者に傍受されるリスクが高まります。これにより、送受信されるパスワード、クレジットカード情報、個人的なメッセージなどが筒抜けになってしまう可能性があるのです。
また、「野良Wi-Fi」と呼ばれる、設置者が不明なアクセスポイントが多数存在しています。
(日本ではまださほど多くありませんが、海外では、空港につくなりスマホに大量のこの種のWi-Fiが表示される場合もあるそうです)
これらに安易に接続することは極めて危険です。悪意ある第三者が、利用者の情報を盗み取る目的で偽のWi-Fiスポットを設置しているケースも少なくありません。
安全なWi-Fiを見分けるには?暗号化の種類を確認しよう
公衆Wi-Fiに接続する際は、その暗号化の種類を確認することが非常に重要です。Wi-Fiの暗号化にはいくつかの種類がありますが、最も安全性が高いのは「WPA3」です。次いで「WPA2」も一般的に安全とされています。
接続する際に、種類が必ず表示されますので、よく確認してみてください。
- WPA3: 最新の暗号化方式で、最も安全性が高いとされています。
- WPA2: 現在広く普及しており、適切なパスワードが設定されていれば比較的安全です。
- WPA/WEP: これらは古い暗号化方式で、セキュリティ上の脆弱性が指摘されています。これらの方式を使っているWi-Fiには接続しない方が賢明です。
接続する前に、スマートフォンのWi-Fi設定画面などで、アクセスポイント名の横に表示されている鍵マークやセキュリティの種類を確認しましょう。鍵マークがない、または暗号化の種類がWPA/WEPと表示されている場合は、接続を避けることを強くおすすめします。
公衆Wi-Fi利用時の対策:VPNの活用
このような公衆Wi-Fiの危険性から身を守るために最も有効な対策の一つが、VPN(Virtual Private Network:仮想プライベートネットワーク)サービスの利用です。VPNは、あなたのデバイスとインターネットの間に暗号化された安全なトンネルを構築します。これにより、公衆Wi-Fiのネットワーク上を流れるあなたのデータはすべて暗号化されるため、たとえ悪意ある第三者がデータを傍受したとしても、その内容を読み取ることは極めて困難になります。
日本で手軽に利用できるおすすめVPNサービス
NordVPN (ノードVPN) 世界的に非常に人気が高く、高速通信と強固なセキュリティ機能が特徴です。多くのサーバーが世界中に分散しており、安定した接続が期待できます。
ExpressVPN (エクスプレスVPN) こちらも世界的に評価の高いVPNサービスで、特に通信速度と安定性に優れています。簡単な操作で利用できるため、初心者から上級者まで幅広く支持されています。
VODにも!業界最速、安全・匿名VPNサービス【ExpressVPN】
Surfshark (サーフシャーク) 低価格で利用できる点が魅力で、デバイスの同時接続台数が無制限であるため、家族みんなで使いたい方におすすめです。広告ブロックなどの機能も充実しています。
MillenVPN (ミレンVPN) 日本企業が運営しているため、日本語でのサポートが非常に充実しており、安心して利用できます。セキュリティ面も高く、国内からの利用にも適しています。
まとめ
「スマートフォンが会話を盗聴している」という感覚は、多くの場合、高度なターゲティング広告の仕組みによるもので、直接的な盗聴ではありません。しかし、マルウェアの存在や、私たちがアプリに与える権限によっては、実際に音声やその他の個人情報が意図せず収集されるリスクも存在します。
私たちは、これらのサービスを無料で利用する限り、自分が「商品」と見なされているという事実を認識し、自身のデジタルプライバシーを能動的に管理する「デジタルリテラシー」を高めることが不可欠です。
コメント