Street ViewカーのWi-Fi盗聴を知っていたGoogle〜原因は「一人の不正なエンジニア」と主張(The Register) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2018.01.20(土)

Street ViewカーのWi-Fi盗聴を知っていたGoogle〜原因は「一人の不正なエンジニア」と主張(The Register)

国際 TheRegister

Googleは2010年4月、この事件が発覚する3年前から、Street ViewカーがプライベートなWi-Fiルーターから個人データを収拾していたことを認識していた。

このことが暴露された際、Googleは同社の地図サービス車両はSSIDとMACアドレスを収拾しているにすぎないと述べた。翌月、同社はネットワーク・データはキャプチャされていたが、これは一人のエンジニアのしわざだと述べた。

6カ月後、Googleは電子メールやパスワードなどのペイロード・データが、Street Viewカーにより記録されていたことを認めたものの、不正なエンジニアに対する非難は変わらなかった。

連邦通信委員会(FCC)による捜査に曖昧な点は無い。エンジニアは上級管理者と個人データの収集について話し合っており、2007年5月から2010年5月まで、ワイヤレス・トラフィックがStreet Viewカーによりキャプチャされた。

管理責任者は「これらのURLは、我々が運転中に記録したWi-Fiパケットから嗅ぎ出したものなのか?」とたずねたと、エンジニアは主張している。両人の身元は公開されておらず、開発者は「エンジニア某」と呼ばれている。

FCCは土曜、完全な報告書[PDF、4.5MB]を公開した。

Googleは、セキュアでないワイヤレス・ネットワークからペイロード・データをインターセプトすることは、通信傍受法に違反しないと主張した。この盗聴は必ずしも不法ではないとFCCも認めており、Googleが記録したデータを不正に使用したという証拠は、見つけることができなかった。

しかし、同監査機関はGoogleが捜査を妨害したと結論づけ、違反に対して2万5000ドルの罰金を科した。これは既に放棄されたGoogle Buzzサービスに関する個々の訴訟を解決するために支払った850万ドルよりも、かなり少ない。

「Googleは何ヶ月も、資料の請求に応じず、同社の回答の証明や根拠を提供しないことで、故意に委員会の捜査を妨げ、遅延させてきた」とFCCは書いている。

Googleはコードをチェックするようサードパーティに依頼し、その技術レポートが現在公開されている。そこでは、データフレームがセキュアでないネットワークからキャプチャされたこと、SSIDおよびMACアドレスがKismetパケット傍受ソフトウェアで発見される全てのWi-Fiネットワークからキャプチャされたことが明らかにされている。

ペイロード・データをキャプチャする機能は、設計書類で概説されており、「彼らが何を行っていたかに関する情報」として明記されている。しかしエンジニア某は、Street Viewカーが「長期間、所定のユーザーに接近」(ほぉ)しないため、プライバシーの問題にはならず、「収拾されたデータは[Googleサービス]のエンドユーザーにローデータで提示される」と考えた。

同エンジニアは「プライバシー上の問題をプライバシー・コンサルタントと話し合う」をToDoリストに付け加えたが、コードの詳細な内部調査が行われたにも関わらず、会合が行われることはなかった。

Googleの上級管理者はFCCに、設計書類が書かれる前に事前承認したと語った。

Googleの共同創設者Sergey Brinは先頃、The Guardian紙にあらがいがたい欲求を語った:「もし我々が魔法の杖を振ることができたら、そして米国の法律に抵触しないなら、素晴らしいことでしょう。もし我々が、世界の誰もが信用する魔術的な法域にいるのであれば、それは素晴らしいことでしょう。我々はそれを実現しようとしており、達成することもできるのです。」

理由は分かる。Googleの逮捕記録[PDF、60KB]は日に日に増加しており、プライバシー、市場の乱用およびIP乱用の容疑に関するめざましいリストが物語っている。

脚注
プライバシーに注意を払う必要のある仕事に対し、社員と管理者により大きな責任を負わせるため、Googleがどのような手続きを行っているのかに、FCCは触れていない。New York TimesはGoogleが社員に、Googleのエンジニアにより考案された「注意深さ」に関するコースを提供していると報じている。そこには「自覚」や「自制」といったステップが含まれている。

※本記事は全文を掲載しました。有料版にご登録ください。

© The Register.


(翻訳:中野恵美子
略歴:翻訳者・ライター
《ScanNetSecurity》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×