Polarのフィットネスデータから軍関係者らの自宅位置を取得可能。深刻なセキュリティリスクに

ウォーキングやランニングの結果を記録し、専用サービスやSNSなどで公開することは日本でもよく行われていますが、それによるプライバシーあるいはセキュリティーリスクはよく考えておかなければいけません。 オープンソースやソーシャルメディアでの問題を専門に調査しているBellingcatとオランダのメディアDe Correspondentが共同で、フィットネスバンドPolarの専用アプリ「Polar Flow」を調査、その結果を発表しました。 それによると、核兵器を保管している施設に出入りしている人や原子力発電所で働く管理職、北朝鮮の国境付近に駐留する兵士など、およそ6500人の個人情報を取得し、自宅の場所なども特定できたとしています。 Polar Flowには他のユーザーがどんなコースを走っているのかを地図上で見られるExplorerという機能があり、これを使い軍事施設などの付近を走っている人を特定。これらのアプリを使う人は本名で登録している人が多く、Linkdinなど他のソーシャルメディアで公開されている情報と照らしあわせて個人を特定できたとのこと。 また、ランニングを始める際、自宅の前で記録を開始・終了することが多いので、特定した個人の記録を調べることで自宅の場所が分かるとしています。さらに、フィットネストラッカーは標高も測定できるため、中にはアパートのフロアまで特定できた人もいたそうです。 一般人だけであればプライバシー問題で済むかもしれませんが、上記のような人々の場合、テロの対象となる可能性も高く、深刻なセキュリティリスクとなり得ます。 この調査結果を受け、PolarはExplorer機能を一時的に中断。また過去の公開されたログを一括削除する機能を提供する予定とのことです。 なお、同様の問題はPolarだけではなく、今年の初めにはStravaでも指摘されていました。こちらは個人の特定ではなく、イラクやシリアなど、フィットネストラッカーがほとんど使われていない地域にもかかわらず、頻繁にログが出現する箇所があり、そこが未公開の米軍施設だと特定できてしまうといったものでした。 フィットネストラッカーのデータはSNSなどで公開することで、お互いに励ましあうなど運動のモチベーションを高められる一方で、今回のようなリスクがあることは肝に銘じておく必要がありそうです。また、専用サービスやSNSに投稿する場合は、公開範囲を友人に限定する、自宅から離れた場所で記録を始めるなどの対策をしておきたいところです。