今人気の新しい技術と言えば、携帯用のフィットネストラッカーです。ここでは、あなたのデータを安全に保護し、便利なトラッキング機能付きデバイスを健康増進のために継続的に活用するための方法を紹介します。

技術の進歩により、食事、睡眠、運動から、心拍数や血圧の数値に至るまで、日常生活のあらゆる情報を記録できるツールが登場しました。一見、こうした種類のデータがネット犯罪者に狙われるとは想像できません。しかし、日常の行動を GPS を利用して記録しているとしたら、その情報をネットストーカーに悪用される恐れがあるのです。また、ジョギングの際に記録した走行距離や走行場所などの情報を、広告活動に利用される可能性があります。たとえば、ランニングシューズの買い換え時期をデータから推定して広告が表示されるかもしれません。さらに、デバイスを通して個人情報 (名前、年齢、位置情報など) を共有している場合は、それらを盗まれる恐れがあります。こうしたデータを収集すれば、ユーザーの実像をより正確に把握できてしまうのです。極めて個人的な健康データを記録し、Bluetooth LE や無線インターネットを経由して転送するウェアラブルデバイスも存在するため、こうしたデバイスに保存されている個人情報はネット犯罪者の格好の標的になります。

健康記録用のウェアラブルデバイスとアプリについて詳細な調査 (英語) を行った結果、これらのデバイスには、ハッカーが個人情報へのアクセスに悪用できる複数の脆弱性が存在することがわかりました。

ウェアラブルトラッキングデバイスの仕組み

ウェアラブルデバイスは、基本的にはデータ収集を行うデバイスです。一般的には、リストバンドや時計として身に付けたり、シューズや自転車に取り付けて使用し、動きや位置に関する情報を収集するための加速度センサーとジャイロスコープが搭載されています。こうしたデータを解析するために、ほとんどのウェアラブルデバイスはモバイルアプリと連動します。モバイルアプリはデータを高速で処理して分析し、デバイスに保存したり、場合によってはクラウドの追加ストレージに転送したりします。多くの場合、このようなモバイルアプリのセキュリティは弱く、セッション管理も貧弱であるため、攻撃者はユーザーの行動範囲を特定して、名前、誕生日、位置、年齢、ユーザー名などの重要な個人情報を盗み出すことができます。

スマートフォンそのものがトラッキングデバイスとして機能する場合もあります。最近のことですが、筆者はかかりつけの医者にもっと運動をするように言われました。私は iPhone 6 を持っており、新しい健康管理アプリで運動データを記録しています。このアプリは内蔵センサーを使用して、1 日の歩数と上った階段の数を教えてくれます。スマートフォン自体が、内蔵センサーを使用して大量のデータを記録できるのです。ほとんどのスマートフォンには、気圧計、加速度センサー、ジャイロスコープ、心拍センサー、近接センサー、環境光センサー、GPS が搭載されており、1 台のデバイスで大量の情報を追跡できます。一部のサードパーティ製アプリは、こうした情報に GPS 位置情報を付加します。この情報を参照すれば、今どこにいるか、目的の場所にいつ着くか、どのくらいでそこに着くかがわかります。こうした自分の日常の行動に関する膨大なデータは、犯罪者の手には絶対に渡したくありません。

データセキュリティに関する懸念

アプリの 20% が、ユーザーのログイン情報を暗号化せずに平文で転送するため、アカウントが侵害されるリスクが高くなります。フィットネスや健康管理用のトラッキングアプリは、さまざまなドメインにも接続するため、複数の広告ネットワークや調査会社の間で個人情報が共有され、マーケティング活動や、アプリの性能テスト、ユーザー行動調査のために利用される可能性があります。こうしたアプリの多くはプライバシーポリシーを定めていないため、記録されている個人データがどのように利用されるか不透明です。さらに、こうした個人データはモバイルマルウェアによって盗まれる恐れもあります。

モバイルアプリとウェアラブルデバイスで個人情報を保護するためのヒント

それでは、記録されている個人データを脆弱性から保護するにはどうすればいいのでしょうか。そのためのヒントをいくつかご紹介します。

1. ウェアラブルデバイスの使用中にネットストーカーに位置情報が漏れないようにするために、個人を識別できる情報を使用しないようにしてください。たとえば、ユーザー名などに「Yamada Taro」のような自分の本名や誕生日などを使用するのは避けてください。また、データをアプリに転送するときなど必要な場合以外は Wi-Fi や Bluetooth はオフにしてください。
2. パスワードが侵害されるリスクを回避するために、トラッキングサービスに固有の複雑なパスワードを使用してください。詳しくは、「強力なパスワードの作り方」をご覧ください。また、複数のデバイスやアプリで同じパスワードを使い回さないようにします。ネット犯罪者が 1 つのアカウントへの侵入に成功した場合、すべてのアカウントに侵入されてしまう恐れがあります。
3. ダウンロードしたアプリのプライバシーポリシーは必ずチェックして、データがどのように利用されるか確認してください。アプリのプライバシーポリシーが提供されていない場合は、どのようなデータが収集され、どのように利用されるかわからないので、こうしたアプリはダウンロードしないようにします。
4. スマートフォンやタブレットにデータを保存する場合は、そのデバイスにスクリーンロックとパスワードを設定してください。
5. ウェアラブルデバイスやアプリが、スマートフォンに保存されているどのデータへのアクセス許可を求めているのか確認してください。たとえば、ランニング用アプリが連絡先へのアクセスを要求するなど、関係のない内容の場合は拒否します。
6. トラッキングアプリでソーシャル共有を使用する場合は十分に注意してください。ソーシャル共有機能を使用すると、いつどこで運動を行っていたか公開されてしまいます。ネット犯罪者は、この情報を悪用して行動を追跡できるので、ネットストーカーの問題につながる恐れもあります。このようなデータをソーシャルメディアで共有する場合は、アカウントのセキュリティ設定を確認して、信頼できる友人や家族とだけ共有されるようにしてください。
7. アプリと OS の更新プログラムが公開されたらすぐに更新してください。更新プログラムを適用すると、新たに発見されたセキュリティホールを修正できます。

技術の進歩により登場したトラッキングツールは、私たちの生活をより良く変える可能性を秘めています。しかし、実際に使用する前に、それに伴うリスクと、個人情報を確実に保護する方法を理解しておいてください。

調査結果の詳細については、Symantec Connect のシマンテックセキュリティレスポンスブログをご覧ください。