カーネギーメロン大学でコンピュータサイエンスを学ぶロバート・シャオさんは最近、ロケーションスマート社のウェブサイトに脆弱性を発見した。この脆弱性により、ノウハウを持つ人なら誰でも、何百万台もの携帯電話のリアルタイムの位置を簡単に入手できてしまう。
背景を説明すると、LocationSmart は、米国の Verizon、AT&T、Sprint、T-Mobile などの大手通信事業者からモバイル顧客の位置データを収集し、コンプライアンス、サイバーセキュリティ、近接マーケティングなどのさまざまな目的で他の企業に販売する企業です。
脆弱性が発見されるまで、LocationSmart は誰でも電話番号を入力し、SMS または電話でリクエストを確認して、おおよそのリアルタイムの位置情報を表示できる試用版 Web ページを提供していました。
LocationSmartのトライアルページ(削除済み、Krebs on Security経由)
シャオ氏が発見した問題は、ウェブページにバグがあり、技術力のある人なら誰でも電話番号の確認プロセスを回避し、米国のほとんどの大手通信事業者、さらにはカナダのベル、ロジャース、テルスの各社の加入者のリアルタイムの位置情報を閲覧できてしまうことだった。
Xiao 氏はブログ投稿で、このバグは基本的に、デフォルトの XML 形式ではなく JSON 形式で位置データを要求することに関係していると述べています。
同じリクエストを requesttype=locreq.json で実行すると、同意を得ずに完全な位置情報データを取得できます。これがバグの核心です。つまり、デフォルトのXML形式ではなく、JSON形式で位置情報データを要求しているのです。そして何らかの理由で、同意(「サブスクリプション」)チェックも抑制されてしまいます。
脆弱性を発見すると、Xiao 氏は直ちに US-CERT に連絡して情報開示を調整し、Brian Krebs 氏に詳細を共有しました。Brian Krebs 氏は自身のブログKrebs on Securityでさらに詳しい情報を公開しました。
シャオ氏はクレブス氏に、追跡に同意した5人の人物の現在位置から100ヤード(約90メートル)以内と1.5マイル(約2.4キロメートル)以内に近づいた大まかな経度と緯度を、わずか数秒で取得できたと語った。ロケーションスマートは、その座標をGoogleストリートビューの地図上にプロットした。
「ほとんど偶然にこれを見つけたんですが、それほど難しくなかったんです」とシャオ氏は言う。「これは誰でも簡単に見つけられるものです。要するに、ほとんどの人の携帯電話を本人の同意なしに追跡できるんです」
シャオ氏によると、テストの結果、LocationSmartのサービスを利用して、加入者のモバイル端末に最も近い携帯電話基地局に確実にpingを送信できることがわかったという。シャオ氏によると、友人が移動している間に、数分間にわたってその携帯電話番号を複数回確認したという。数分間にわたって友人のモバイルネットワークに複数回pingを送信することで、座標をGoogleマップに入力し、友人の移動方向を追跡することができたという。
LocationSmartが試験サービスを提供していた期間や、脆弱性が存在していた期間については、正確なところは不明です。クレブス氏はウェブサイトのアーカイブ版へのリンクを提供しましたが、その内容から、少なくとも2017年1月まで遡る可能性が示唆されています。
電話でコメントを求めたところ、ロケーションスマートの創設者兼CEOのマリオ・プロイエッティ氏は、同社が調査中であるとクレブス氏に語った。
「当社はデータを一切提供しません」とプロイエッティ氏は述べた。「当社は、正当かつ承認された目的に限り、データを公開しています。これは、同意を得た上でのみ行われる、正当かつ承認された位置情報データの使用に基づいています。当社はプライバシーを真剣に受け止めており、あらゆる事実を精査し、調査します。」
AT&Tの広報担当者はクレブス氏に対し、同社は「顧客の同意や法執行機関の要請がない限り、位置情報の共有は許可していない」と語ったが、ベライゾン、スプリント、Tモバイルはいずれも自社のプライバシーポリシーを指摘した。
LocationSmartは、今回の暴露以前から既に話題となっていました。ニューヨーク・タイムズ紙は先週、ミズーリ州の元保安官、コリー・ハッチソン氏が、LocationSmartからデータを入手したSecurusという民間サービスを利用して、裁判所の命令なしに人々の携帯電話を追跡したとして起訴されたと報じました。
これらの見出しがきっかけで、シャオ氏はLocationSmartのウェブサイトを精査し、最終的にこの脆弱性を発見しました。しかし、ページは削除されたものの、今後どのような措置が取られるのかは不明です。少なくとも1人の米国上院議員が、FCCに対し、通信事業者に対してより厳格なプライバシー法を施行するよう求めています。
詳細情報:携帯電話追跡会社のウェブサイトのバグにより、数百万人のアメリカ人のリアルタイムの位置情報が公開された ( ZDNetのザック・ウィテカー)
最新情報:CNETによると、FCC の執行局は LocationSmart を調査することを確認した。
人気のストーリー
iOS 26.1からiOS 26.4では、iPhoneに以下の新機能が追加されます
2025年10月1日水曜日午後1時26分(PDT)ジョー・ロシニョール
iOS 26は先月リリースされましたが、ソフトウェアの進化は止まることなく、iOS 26.1のベータテストはすでに開始されています。iOS 26.1では、Apple Intelligenceと対応AirPodsのライブ翻訳が追加の言語で利用可能になったほか、Apple Music、カレンダー、写真、Safariにもいくつかの小さな変更が加えられています。今後のバージョンでは、さらに多くの機能と変更が予定されています。
新型iPhoneの需要は1機種を除いて「予想を上回る」
2025年10月2日木曜日午前7時26分(PDT)ジョー・ロシニョール
iPhone 17シリーズの発売から約2週間後、投資銀行モルガン・スタンレーのアナリストは、Appleのオンラインストアにおける出荷予定の延長とAppleのサプライチェーンから収集した情報に基づき、同機種の需要は「当初の予想よりもやや強まっている」と述べた。iPhone 17、iPhone 17 Pro、…の初期需要は堅調だった。
M5 MacBook Air:発売日、機能、パフォーマンス予測
2025年10月3日金曜日午前3時39分PDT ティム・ハードウィック
MacBook AirはAppleの最も人気のあるノートパソコンです。薄型でファンレス、そしてAppleシリコンの効率性により静音性に優れたマシンです。M4モデルはそれほど古いモデルではありませんが、すでに後継機に注目が集まっています。Appleは新製品の発売を事前に発表することはありませんが、Appleのシリコンロードマップを見れば、今後の展開を驚くほど明確に予想することができます。
iOS 26ではiPhoneに200以上の新機能と変更点が追加されます
2025年10月4日土曜日午前8時19分(太平洋夏時間)ジョー・ロシニョール
Appleのウェブサイトでは、先月リリースされたソフトウェアアップデートに含まれる約200の新機能と変更点(PDFファイル)のリストが公開されています。AppleはiPadOS 26とmacOS Tahoeについても同様のリストを公開しています。iOS 26はiPhone 11以降と互換性があります。アップデートをインストールするには、iPhoneの設定アプリを開き、「一般」をタップし、「ソフトウェアアップデート」をタップしてください。以下に、特に注目すべき8つの機能をご紹介します。
Appleのイベントは10月に?何が期待できるのか
2025年9月29日月曜日午前9時31分(PDT)ジョー・ロシニョール
Appleの毎年恒例のiPhoneイベントは終了しましたが、噂によると、年末までにいくつかの追加製品をリリースする予定とのことです。今年の10月にAppleのイベントは開催されるのでしょうか?その可能性については、以下で考察します。10月のAppleイベント Appleが最近10月にイベントを開催したのは2021年と2023年です。2022年と2024年には、Appleは10月にイベントを開催しませんでした。その代わりに…
MacRumors Show:リーク情報でAppleの次期製品が明らかに
The MacRumors Showの今回のエピソードでは、次世代iPad Pro、MacBook Pro、Studio Display、Vision Proに関する最新のリーク情報を取り上げます。その他の動画はThe MacRumors ShowのYouTubeチャンネルに登録してください。今週初め、M5チップを搭載したアップデート版iPad Proの開封動画と思われるものがオンラインで公開されました。同じYouTubeアカウントで、M4チップを搭載した14インチMacBook Proの情報もリークされていました…
昨日リークされたAppleの新製品一覧
2025年10月1日水曜日午前8時27分(PDT)ジョー・ロシニョール
昨日、ロシアのYouTube動画と、Appleの機密保持要請にもかかわらず公開された米国連邦通信委員会(FCC)の文書を組み合わせ、Appleの次期製品に関する情報がいくつかリークされました。リークされた製品には、M5チップを搭載したiPad Pro、アップデートされたMacBook Pro、そしてApple Vision Proモデルが含まれています。これらのデバイスはいずれも既に噂されていました…
Appleの2025年製品ロードマップ:今後の予定
2025年10月1日水曜日午後3時56分(太平洋夏時間)Juli Clover
Appleの年間2大イベント、WWDCとiPhone発表は終了しましたが、年末までに発表が期待される新製品がまだいくつかあります。Apple TV Apple TVは2022年以降アップデートされていないため、そろそろ刷新の時期です。Appleがセットトップボックスのデザインを変更する予定はないようですが、Appleのコードによると、より高速なチップの搭載が期待されます…