Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

フィットネスデータ開示のリスク

フィットネスバンドPolarのデータ追跡の記事が出ていました。

japanese.engadget.com

 

オープンソースソーシャルメディアでの問題を専門に調査しているBellingcatとオランダのメディアDe Correspondentが共同で、フィットネスバンドPolarの専用アプリ「Polar Flow」を調査、その結果を発表しました。

それによると、核兵器を保管している施設に出入りしている人や原子力発電所で働く管理職、北朝鮮の国境付近に駐留する兵士など、およそ6500人の個人情報を取得し、自宅の場所なども特定できたとしています。

Polar Flowには他のユーザーがどんなコースを走っているのかを地図上で見られるExplorerという機能があり、これを使い軍事施設などの付近を走っている人を特定。これらのアプリを使う人は本名で登録している人が多くLinkdinなど他のソーシャルメディアで公開されている情報と照らしあわせ個人を特定できたとのこと。

また、ランニングを始める際、自宅の前で記録を開始・終了することが多いので、特定した個人の記録を調べることで自宅の場所が分かるとしています。さらに、フィットネストラッカーは標高も測定できるため、中にはアパートのフロアまで特定できた人もいたそうです。

(engadget記事より引用)

 

◆キタきつねの所感

同様な記事を見たな・・と思っていたら、ありました。Stravaでも同じ様な脆弱性が指摘されていました。

gigazine.net

 

フィットネス情報については、スタートとゴールポイントが、その使用者の居住地である事が多く、それが軍人であれば秘密軍事基地の場所の漏えいにつながる訳であり、個人であれば自宅が判明してしまう可能性が高いのです。

他のネット上のライバルと競い合う事により、モチベーションアップにつながる事は良い事ではありますが、特に情報をオープン開示するフィットネスサービスや機器については、その開示は慎重になるべきかも知れません。(軍等の)組織であれば、そうしたツール使用を禁止する事まで視野に入れるべきでしょうし、個人であればFacebook,Twitter等にヒントとなる情報を挙げない事が出来なければ、ちょっとした匿名書き込みについて・・・炎上した際は、自宅を含む個人情報が特定される事にまでつながるかも知れません。

 

ビックデータ分析を大型コンピュータ(AI)が実施するのが当たり前になってくると、無価値で匿名と思っていた自分のデータが、意図しない活用をされてしまうリスクがある、そうした事を意識しながらフィットネスデータも開示の許可を考えるべきと言えそうです。

 

因みに、以前見た、StravaのHeat Map(※誰でも見れます)北朝鮮と韓国の国境線あたりを見てみると・・・

f:id:foxcafelate:20180722114442j:plain

韓国側は国境線の近くまで、日常的に走る人が居る(軍人とは限らないかも知れませんが)事が分かりますし、北朝鮮側は、、Stravaを使う人が居ない(フィットネス情報収集ツールは使われていない)事が一目瞭然でした。

 

 

痩せようと運動をする人のイラスト(男性)

 

 

更新履歴

  • 2018年7月15日PM(予約投稿)