あなたの位置情報は承諾なしにインターネット利用端末から690メートル以内の精度で特定できます

先日、 ボストンにて行われたUsenix Symposium on Networked Systems Design and Implementationというイベントで、位置情報の特定手法に関した恐ろしい研究結果が発表されました。発表者は中国成都にある電子科学技術大学の科学者であるYong Wangさんと、アメリカイリノイ州にあるNorthwestern Universityの研究員達です。

日本でも某企業が提供するようなデータベース形式の位置特定サービスは別として、通常IPアドレスベースの特定法では位置情報の精度は35キロメートル内です。

しかし、なんとこの手法を用いると、あなたの位置情報が、あなたが使用している利用端末から690メートル以内の精度で特定できてしまうというのです。しかも、特別な装置や、GPS位置情報も一切必要なく、現在普通にインターネットを飛び交う公開情報だけから位置を特定できてしまいます。

その手法とは、企業や大学のランドマーク情報を活用して位置の精度を飛躍的に高めるというものです。

一定の企業や大学は、それらの敷地内にウェブサーバーをホストする傾向があります。すなわち、位置情報とIPアドレスが高い精度で紐付けられているということです。

Wang氏は、Google Mapを利用して、ウェブサイトのIPアドレスが位置情報に紐付けられている76,000もの企業や大学をデータ化しました。ちなみに、通常の位置特定手法では、数百のランドマークしか使用しないそうです。

この手法では、それらランドマークの情報を用いて、3つのステップを経て端末の位置を特定します。当然のことながら、「位置情報を知りたいターゲット端末が現在インターネットにつながっているIPアドレス」がわかっていることが前提です。

  1. まず、ターゲットに対してパケットを送信し、所要時間を測定し距離に換算します。これは通常でも用いられる位置情報特定の一般的な手法であり、これにより第一段階として200キロメートルの精度で位置を絞り込めます。
  2. 次に、Google Mapで広範囲にプロットしたランドマークのサーバーにパケットを送信し、どのルーターを経由するかを記録しておきます。その中から、ターゲットとルーターを共有するものを抽出し、そのルーターからターゲット到達までの時間差を距離に変換し、再度位置情報を絞り込みます。
  3. 最後に、絞り込まれた範囲内で、さらにルーターを共有するランドマークからとの時間差を距離に変換し、位置情報をもう一度絞り込みます。

この方法で、利用端末の位置が100メートルから690メートル以内の精度で特定できるというのです。

通常の精度の高い位置情報の特定手法は、GPSの位置情報などの送信をユーザー自らが承認せねばなりません。しかし、この方法だと通常行き来しているパケットを利用するだけで端末の位置情報を特定することができるので、利用者の承認が一切必要ありません。

そこが怖いところです。

すなわち、インターネットを利用しているだけで、IPアドレスさえ入手されてしまえば、第三者に数百メートルの精度で位置が特定されてしまうという事です。今までは、当然のようにIPアドレスからだけでは居場所までは特定できないと長年言い続けられていましたが、それがこの手法により根底から覆ります。

この手法による位置の特定を回避するには、プロキシやVPN等を利用するしかありませんが、Wang氏によるとプロキシの利用は特定できるため、間違った位置情報でなくエラーを返すことができるとのことです。ようするに、位置をごまかしている、ということまでばれてしまうという事ですね。

位置情報とIPアドレスをひたすら紐付けてデータベース化する手法に比べ、この手法であればまず「データ漏れによる位置情報の特定失敗」ということがありません。また、ランドマークの情報と、経由するルーターの情報を定期的に更新しておけば、いつでも端末の最新の位置情報をユーザーの許諾なしに特定できます。

少し考えれば誰でも思いつきそうな手法でありますが、この手法がリアルタイムに利用できる位置情報特定サービスとして完成すれば、これからはインターネット利用のプライバシーについての概念が全く変わってしまうかもしれませんね。

ところで、先日Google Chromeの位置情報の精度を試しておりましたが、WiFi機能を搭載したPCから利用すると、GPSなしに恐ろしい精度で位置が特定されることがわかりました。一度ChromeからGoogle Mapへ行き、左上の丸いボタンを押してみてください。WiFiスポットが周りに多くある場所では、下手をするとGPSよりも正しい結果を表示することがあります。

これら手法がすべて組み合わされる時代がくれば、インターネット利用におけるプライバシーの自衛がますます重要に、そして困難になってきますね。

皆様はどう思われますか?

追記: ADSLだと精度が落ちて使い物にならないのでは?というご意見が。論文によるとアメリカのケーブルインターネットでも、通常のDSLに比べ700メートルの精度低下で位置が特定できるとのこと。すなわち、最悪でも1400メートル以内の精度では特定できると言う事ですね。データベース型の位置マッチングに比べれば、かなり高い精度で広告サービスなどに応用できますね。

追記: この手法がすでに知的所有権として保護されているのか、それともオープンに利用できるのか非常に興味があったので、Wang氏にメールで問い合わせてみました。返答についてはこうご期待。返答次第によっては試してみたいところです。

追記: Wang氏の同僚よりメールをいただきました。既に特許で技術を保護しており、サービス開始のために事業化が進んでると。さっそく日本での協業を打診し始めてみました。

追記: すでに法人化されており、そこのCEOからもコンタクトがありました。いろいろと今後の展開と日本での販売の可能性について聞いてみることにします。

5件のコメント

  • 個人の行動パターン、属性などを含め、近い将来ダダ漏れでしょう。怖いのか楽しいのかは微妙です、道具はいつも使い方次第ですからね。

  • この手法を使っても、どーせADSLじゃ解るのは基地局止まりだよなぁと。光は知らね。
    DIONみたいなIPアドレスベースだと見当つかない相手だと有効なのかなぁ。
    興味深いけど有効性は割と疑問ってのが自分の感想。

    • 論文を見たところ、ADSLやケーブルインターネットの方式でも+700メートル以内の精度、すなわち最悪1400メートル以内の精度で特定可能、とあります。

      • >ADSLやケーブルインターネットの方式でも+700メートル以内の精度、
        >すなわち最悪1400メートル以内の精度で特定可能
        あら、書いてありましたか。論文の方を読んでないのがバレバレですね。失礼いたしました。

コメントを残す

Top