米国国家安全保障局(NSA: The National Security Agency)は8月4日(米国時間)、モバイル端末などにおける位置情報を保護するためのガイダンス「Limiting Location Data Exposure」を公開した。United States Computer Emergency Readiness Team (US-CERT)が「NSA Releases Guidance on Limiting Location Data Exposure |CISA」において伝えている。

「Limiting Location Data Exposure」は、国家安全保障システムや国防総省システムのユーザー、および一般市民の位置情報の漏洩を防ぎ、適切にコントロールするために推奨する事柄を解説している。

Limiting Location Data Exposure

ガイダンスの全文は次の文書(pdf)で読むことができる。

CSI_LIMITING_LOCATION_DATA_EXPOSURE_FINAL.PDF

ガイダンスではまず、モバイルデバイスにおける位置情報サービスの概要を説明した上で、一般的な誤解を訂正している。その1つが、「位置情報サービス=GPSではない」ということだ。多くのデバイスでは、設定で位置情報サービスをオフにした場合、アプリからの位置情報へのアクセスは不可能にするが、GPS機能自体を無効にするわけではない。GPSが使えなかったり、通信キャリアの電波が届かなかったりする状況でも、デバイスはWi-FiやBluetoothなどを使って位置に関する十分な情報を得ることができる。

また、リスクはモバイルデバイスだけに存在するわけではないということも警告している。スマートウォッチやフィットネストラッカー、スマート医療機器やIoT機器など、通信機能を有するあらゆるデバイスが位置情報に関してモバイルデバイスと同様のリスクを抱えている。多くの場合、これらのIoT機器では通信機能をオフにする方法がなく、セキュリティ機能も組み込まれていないため、気づかないうちに位置情報が漏洩している危険性がある。

位置情報の漏洩や不正利用を防止するには、このようなデバイスの特性をよく理解した上で、適切な設定や使用方法を心掛けることが肝心となる。ガイダンスでは、位置情報に関するリスクを軽減する方法として、次のような対策が紹介されている。

デバイスの位置情報サービス設定を無効にする。

Wi-FiやBluetoothを頻繁に使用していない場合にはオフにする。

デバイスを使用していない時は機内モードにする。

アプリには最低限必要な権限しか許可しないようにする。

"デバイスを探す"などの追跡機能をオフにする。

デバイスでのWebブラウジングは最小限にとどめ、ブラウザへの位置情報サービスへのアクセスは許可しない

匿名のVPNを使用する。

可能であれば、クラウドに保存される位置情報を最小限にする。もちろん、上記のような対策を実際にとることができるかどうかは、各デバイスの利用状況によって異なるだろう。ほとんどの場合、位置情報の公開を完全に防止することはできないが、慎重になることで悪用されるリスクを軽減することはできる。それには、まずデバイスの位置情報の取り扱いに関する正しい知識を身につけ、適切な設定方法などを把握しておくことが重要である。