チェック・ポイント・ソフトウェア・テクノロジーズ株式会社

サイバーセキュリティソリューションのパイオニアであり、世界的リーダーであるチェック・ポイント・ソフトウェア・テクノロジーズ（Check Point(R) Software Technologies Ltd.(https://www.checkpoint.com/jp/)、NASDAQ：CHKP、以下チェック・ポイント）は、Meta社がInstagramでリリースした新機能「Instagramマップ(https://about.instagram.com/blog/announcements/instagram-new-features-connect-friends)」機能の位置情報収集の仕組みについて分析し、このマップ機能を有効にした際に生じる可能性のあるデジタル、そして物理的なリスクについて明らかにしました。

本リリースでは、分析を通じて明らかになった以下の点について解説します。

- Instagramのマップ機能が位置情報を収集・保存する仕組み- デジタルと物理の両面における安全性リスク- Instagramマップと、Appleの「探す」機能やSnapchatのSnap Mapとの違い- ユーザーが取るべきリスク軽減策

Meta社がInstagramでこのマップ機能をリリースした際、友達の現在地の確認や、共通のスポットを発見できる楽しい方法であると謳っていました。しかしこの発表によって、多くの人は即座に懸念を抱きました。位置情報の共有は単なる便利な機能ではなく、信頼や安全性、そして個人データの管理という問題をはらんでいるためです。

Meta社はこのマップ機能をオプトインであるとしています。しかし現実には、その機能の有効化による影響は、単なる気軽な交流を超えた部分まで及ぶと考えられます。デジタルプライバシーのリスクと物理的なセキュリティ脅威の境界があいまいになり、ユーザーは、標的型攻撃やストーキング、あるいは望ましくないプロファイリングの危険にさらされることになります。この機能が持つ設計そのものと、Instagram上での行動を促す社会的圧力の組み合わせによって、慎重なユーザーであっても、意図する以上に行動や習慣に関する情報を漏らしてしまう可能性があります。

画像1：Instagramの新しいマップ機能 (Instagram.com)

位置情報データの収集と扱い

Instagramのマップ機能を有効化すると、主に以下の2種類の位置情報が取得されます。

- アプリの起動による位置情報のログ - Instagramアプリの起動または再起動時の、ユーザーの最新の位置情報が記録されます。- コンテンツベースの位置情報データ - 場所をタグ付けしたリールやストーリーズ、フィード投稿はいずれもインデックス化され、ユーザーのアカウントプロファイルと関連付けられます。

これらの記録から、連続したGPSトラッキングを利用していない場合にも、タイムスタンプ付きの移動履歴が形成されます。同じ座標でのチェックインが繰り返されることで、時間の経過とともに、自宅や職場の所在地、移動パターン、よく訪れる場所などの推測が高精度で可能になります。

この位置情報は、Instagram、Facebook、Messenger、その他のMetaサービスを支える同一のインフラストラクチャーの一部として、Metaのサーバー上に一元的に保管されます。このデータの保持について、Metaは具体的な期間を明示せず、サービス提供や分析、コンプライアンス、商業目的といった使用目的をカバーする上で「必要な期間（as long as necessary）」というあいまいな表現を用いています。また、セキュリティを最優先事項とする位置情報サービスと異なり、この位置情報はエンドツーエンドでの暗号化はされていません。そして一元的な情報管理は、サイバー犯罪者に魅力的なターゲットと見なされる要因にもなります。

InstagramはMetaの巨大な広告エコシステムの一部であるため、このデータを、より広範なユーザーの行動プロファイルと照合することもできます。この情報の統合により、非常に詳細な広告ターゲティングが可能になります。対象を絞った詳細なマーケティングを可能にするこの精度によって、より悪質なターゲティング手法もまた、可能になります。

二重の脅威：物理的リスクとデジタルのエクスプロイト

位置情報の共有に伴うリスクは物理的、そしてデジタルの2つに大きく分類できますが、危険性はそれらが重複する可能性があるという点にあります。物理的な面では、居場所が明らかになることによって、ストーキング、嫌がらせ、望まない対面での接触などが可能になる危険性があります。ソーシャルメディアの場所タグを悪用し、住宅が無人の可能性が高いタイミングに強盗を企てる犯罪者もいます。未成年者のリスクはさらに高く、位置情報が公開されている場合、加害者は個人を特定・追跡・接近することが可能になります。

デジタルの面では、位置情報は強力なプロファイリングツールとなります。Metaの広告プラットフォームでは、位置情報を閲覧履歴、購入履歴、デモグラフィックデータと統合し、非常に具体的なターゲット層を構築できます。広告の関連性向上に役立つ一方で、位置情報履歴の悪用は、偽の信頼構築を目的とした標的型の偽情報や詐欺、フィッシング攻撃の機会ももたらします。悪意ある攻撃者は、位置情報のパターンから政治信条や信仰、健康状態などを推測し、それを基に、対象となる人を操るための説得力あるコンテンツを、カスタマイズして作成できます。マーケティングに役立つデータが、ユーザーを攻撃するタイミングと手法を特定することにも役立つ可能性があるのです。

InstagramマップはMetaの広範なエコシステムに完全に統合されています。そのため、FacebookやMessengerなど、このエコシステムに接続されているサービスでのセキュリティ侵害や情報漏えいによって、間接的にユーザーの位置情報が暴露される可能性があります。このように相互接続された構造では、攻撃対象領域が単独のアプリをはるかに超えて拡大します。

Snapchatや「探す」機能との違い

Instagramマップは、Appleの「探す」やSnapchatのSnap Mapなど、知名度の高い他の位置情報共有サービスと一見類似しますが、設計目標、プライバシーモデル、リスクプロファイルは根本的に異なっています。

Appleの「探す」は、最も安全な消費者向け位置情報共有ツールとして広く知られています。この「探す」機能ではエンドツーエンド暗号化を使用しており、位置情報は送信者のデバイス上で暗号化されるため、復号化は意図された受信者のデバイスでのみ可能です。そしてAppleのサーバーであっても、転送中または保存中の位置情報データを読み取ることはできません。アクセスは、Apple IDと紐づけられた暗号鍵交換を通じて承認された連絡先のみに制限されています。この機能は、個人の安全確保とデバイスの復旧という特定の目的のために設計されたものであり、ソーシャルエンゲージメントや広告を目的としたものではありません。そのため、コア機能に必要な範囲を超えて位置情報データを保存または処理する動機は軽減されます。

SnapchatのSnap Mapもオプトイン方式の機能ですが、ストーキングや嫌がらせなど不正使用事例の記録があります。ゴーストモードのようなプライバシー設定があってさえ、悪意ある攻撃者はSnap Mapを悪用し、ユーザーを特定して直接的に対峙するという悪質行為を実行しています。

Instagramマップは、これらのツールとは3つの点で大きく異なっています。まず、この機能はMetaの全体的なエコシステムに位置情報を統合しており、位置情報の履歴を広範な個人情報と関連付けることを可能にしています。次に、Instagramマップは広告主導型のプラットフォーム内で稼働しているため、位置情報の収集、分析、保存に商業的な動機を生み出しています。3点目として、Metaは過去6カ月間で複数の大規模なデータ漏えい事件を経験しています。そのため、詳細かつ具体的な位置情報プロファイルを求める攻撃者にとって、このマップ機能は魅力的なターゲットとなっています。

「Instagramマップ」は「脅威のマップ」？

脅威インテリジェンスの観点では、Instagramマップはすでに悪意ある脅威アクターから注目されています。リリースから数日のうちに、アンダーグラウンドのフォーラム上では位置情報データの保存と送信の仕組みを正確に把握するため、アプリケーションプログラミングインターフェース（API）のリバースエンジニアリングに関する議論が交わされました。また、大量のユーザー座標の収集方法や、それらをオープンソース情報と照合する方法、個人の匿名化を解除する方法などを焦点とする議論も交わされていました。

これらの手法は新しいものではありません。Snapchatのエクスプロイト事例、InstagramとFacebookのジオタグ機能を利用した侵入窃盗事件、そして軍事施設の場所が意図せず暴露されることになったStravaのヒートマップ漏えい事件など、過去の事例で用いられた手法を反映しています。

こうした活動の急速な拡大は、攻撃者たちが位置情報データに高い価値を見出していることの表れです。ここでのリスクは、単に誰かの現在地が特定されることだけに止まりません。位置情報と他の利用可能な情報が結びつけられ、詳細かつ活用可能な個人のプロファイルが作成される危険性に及びます。

ユーザーのための緩和措置

リスクに対する認識は最初の防衛ラインであり、同時に、多くのユーザーにとって最も不足しがちな部分でもあります。Instagramユーザーの多くは、位置情報の共有を有効にすることで素性の分からない人々に自分の移動履歴が閲覧可能になることを、十分に理解していません。フォロワーリストはほぼ確認されず、設定は多くの場合初期設定のままとなっています。また、同調圧力のために、ユーザーがリスクを考慮せずオプトインを選ぶ可能性も高まります。この認識と行動のギャップは、アカウントを脆弱にし、ソーシャル機能を潜在的なセキュリティ脅威へと変えてしまいます。

画像2：位置情報の共有設定

リスクの軽減のために、以下のステップを実施することをおすすめします。

- 位置情報の共有を無効化：メッセージ→ マップ→ 設定から、位置情報の共有設定を“非公開”にする- デバイスの権限を制限：スマートフォンのプライバシー設定で、Instagramの位置情報アクセスを「アプリの使用中のみ」に設定、もしくは完全にオフにする- フォロワーを定期的に確認：素性の分からない、または信頼できないアカウントからのフォローは解除する- 保護者による監督：未成年者の保護者は、Instagramの「ファミリーセンター」を利用して未成年者の位置情報設定を監視し、共有は信頼できる連絡先のみに制限する- 状況に応じて扱う：特定の目的で位置情報の共有を有効にした場合は利用後すぐに無効にし、長期的な位置情報履歴が作成されることを防ぐ

本プレスリリースは、米国時間2025年8月13日に発表されたブログ(https://blog.checkpoint.com/executive-insights/instagram-can-be-fun-dont-let-it-become-a-weapon-behind-metas-new-map-feature/)（英語）をもとに作成しています。

チェック・ポイントについて

チェック・ポイント・ソフトウェア・テクノロジーズ（https://www.checkpoint.com/）は、デジタルトラストのリーディングプロバイダーとして、AIを駆使したサイバーセキュリティソリューションを通じて世界各国の10万を超える組織を保護しています。同社のInfinity Platformとオープンガーデン型エコシステムは、防止優先のアプローチで業界最高レベルのセキュリティ効果を実現しながらリスクを削減します。SASEを中核としたハイブリッドメッシュネットワークアーキテクチャを採用するInfinity Platformは、オンプレミス、クラウド、ワークスペース環境の管理を統合し、企業とサービスプロバイダーに柔軟性、シンプルさ、拡張性を提供します。Check Point Software Technologiesの全額出資日本法人、チェック・ポイント・ソフトウェア・テクノロジーズ株式会社（https://www.checkpoint.com/jp/）は、1997年10月1日設立、東京都港区に拠点を置いています。

ソーシャルメディア アカウント

・Check Point Blog: https://blog.checkpoint.com

・Check Point Research Blog: https://research.checkpoint.com/

・YouTube: https://youtube.com/user/CPGlobal

・LinkedIn: https://www.linkedin.com/company/check-point-software-technologies/

・X: https://x.com/checkpointjapan

・Facebook: https://www.facebook.com/checkpointjapan (https://www.facebook.com/checkpointjapan)

将来予想に関する記述についての法的な注意事項

本プレスリリースには、将来予想に関する記述が含まれています。将来予想に関する記述は、一般に将来の出来事や当社の将来的な財務または業績に関連するものです。本プレスリリース内の将来予想に関する記述には、チェック・ポイントの将来の成長、業界におけるリーダーシップの拡大、株主価値の上昇、および業界をリードするサイバーセキュリティプラットフォームを世界の顧客に提供することについての当社の見通しが含まれますが、これらに限定されるものではありません。これらの事項に関する当社の予想および信念は実現しない可能性があり、将来における実際の結果や事象は、リスクや不確実性がもたらす影響によって予想と大きく異なる可能性があります。ここでのリスクには、プラットフォームの機能とソリューションの開発を継続する当社の能力、当社の既存ソリューションおよび新規ソリューションにたいする顧客の受け入れと購入、ITセキュリティ市場が発展を続けること、他製品やサービスとの競争、一般的な市場、政治、経済、経営状況、テロまたは戦争行為による影響などが含まれています。本プレスリリースに含まれる将来予想に関する記述に伴うリスクや不確実性は、2024年4月2日にアメリカ合衆国証券取引委員会に提出した年次報告書（フォーム20-F）を含む証券取引委員会への提出書類に、より詳細に記されています。本プレスリリースに含まれる将来予想に関する記述は、本プレスリリースの日付時点においてチェック・ポイントが入手可能な情報に基づくものであり、チェック・ポイントは法的に特段の義務がある場合を除き、本プレスリリース記載の将来予想に関する記述について更新する義務を負わないものとします。

本件に関する報道関係者からのお問い合わせ

チェック・ポイント広報事務局 （合同会社NEXT PR内）

Tel: 03-4405-9537 Fax: 03-6739-3934

E-mail: checkpointPR@next-pr.co.jp