CBPがオンライン広告エコシステムを利用して人々の動きを追跡
米税関国境警備隊(CBP)が、オンライン広告エコシステムからのリアルタイム入札(RTB)経由で得た位置情報を活用し、一般ユーザーのアプリ利用を介した詳細な移動追跡を実施していることが内部文書で明らかになった。
キーポイント
広告データ経由の監視実態
CBPがDHS内部文書で認めた通り、ゲームやフィットネスアプリなどの innocuous なアプリケーションから、広告表示時のリアルタイム入札プロセスを通じて位置データを収集している。
技術的仕組みと非自覚性
広告配信時の入札プロセスを傍受する形でデータが流出しており、アプリ開発者自身も政府による監視の経路となっていることを知らないケースが多い。
法執行機関の類似事例と批判
ICEも同様のAd Techデータ購入に関心を持ち、70名以上の議員が監視調査を求めている。市民自由団体はこれを「ゴールドマイン」と批判し、 warrants なき大規模追跡のリスクを指摘している。
CBPとICEによる商用位置情報の購入実態
2020年以降、CBPとICEはVenntelやWeblocといったベンダーから商用の位置情報を購入し、国境での活動や移民の特定に使用している。
データ取得手法とBig Techの関与
これらの監視企業は、リアルタイム入札(RTB)やアプリに埋め込まれたSDKを通じて位置情報を取得しており、Senator WydenはBig Techが政府の監視に協力していると批判している。
議会による調査とICEの非協力
Wyden議員らはDHSの監査官に対し再調査を要請する書簡を送ったが、ICEは説明会を無断でキャンセルし、調査に「石を投げるような対応(stonewalling)」を取っている。
ICEのAd Tech調査依頼
ICEは1月、広告技術(Ad Tech)業界から有能力な企業を募集する情報要求を発表し、商業ビッグデータや広告技術プロバイダーが捜査活動にどのように直接支援できるかを理解しようとしている。
影響分析・編集コメントを表示
影響分析
この報道は、広告技術(AdTech)が持つデータ収集能力が政府の監視権力と結びつく重大なリスクを示唆しています。一般ユーザーは意識することなく、政府による大規模な追跡の標的となる可能性があり、プライバシー保護と技術規制の重要性が再認識されるきっかけとなります。
編集コメント
広告インフラを監視目的で転用するこの事例は、技術の中立性が崩れ、市民の日常行動がデータとして収奪される現代の深刻な課題を浮き彫りにしています。
image 国土安全保障省(DHS)の内部文書が 404 Media によって入手されたところによると、税関国境警備隊(CBP)は、オンライン広告エコシステムからデータを購入し、時間経過に伴う人々の正確な移動を追跡している。このプロセスには、ビデオゲーム、出会い系サービス、フィットネストラッカーなどの一般的なアプリケーションからデータを汲み上げる行為がしばしば含まれる。
この文書は、オンライン広告データの力と潜在的なリスクを鮮明に示しており、政府機関が監視目的のためにこれをどのように活用できるかを明らかにしている。このニュースは、移民税関執行局(ICE)が近隣全体の電話の動きを監視できる同様のツールを購入した直後の出来事である。また、ICE は最近、公的調達文書において、捜査により多くの「Ad Tech」データを入手することに興味があると表明した。404 Media による ICE の購入に関する発表の後、火曜日に約 70 名の議員がグループを結成し、DHS の監督機関に対して ICE の位置データ購入に関する新たな調査を行うよう要請した。
広告データの売却に密接に関与しているアイルランド市民自由評議会(ICCL)の執行ディレクターであるジョニー・ライアン氏は、404 Media 宛ての電子メールで、「この種の情報は、あらゆる人の現在地や、彼らが何を読み、何を視聴し、何を聴いているかを追跡するための『金鉱』である」と語った。
CBP、ICE、またはロケーションデータ企業にお勤めの方はいらっしゃいますか?ぜひお話を伺いたいです。勤務用のデバイスではなく、ご自身の端末から、Signal で joseph.404 までメッセージを送るか、joseph@404media.co までメールをお送りください。
404 Media が入手した文書は、CBP が購入したロケーションデータが広告業界由来であることを初めて認めたものです。具体的には、CBP はそのデータの一部がリアルタイム入札(RTB)を通じて調達されたものであると述べています。アプリ内で広告が表示されるたびに、特定の人口統計層に自社の広告を配信したい企業同士がほぼ瞬時に入札を行うプロセスが発生します。このプロセスの副作用として、監視会社や彼らのために活動する悪質な広告会社がこの入札プロセスを観察し、携帯電話に関する情報、その位置情報さえもを抜き取る可能性があります。これらすべては、通常の電話ユーザーにはほとんど目に見えない形で起こりますが、絶えず行われています。
このような監視は、ビデオゲーム、ニュースアプリ、天気追跡アプリ、デートアプリなど、一見無害に見えるあらゆる種類のアプリケーションを通じて行われる可能性があります。404 Media は以前、RTB(リアルタイム・ビディング)に基づく監視が『Candy Crush』や『Subway Surfers』のようなゲーム、『Tinder』や『Grindr』といったデートアプリ、ソーシャルネットワークの『Tumblr』、そして人気フィットネスアプリの『MyFitnessPal』と関連していることを明らかにしました。多くの場合、アプリケーション開発者自身も、データ収集が作成者が自ら組み込んだコードに基づくものではないため、政府による監視の経路として機能していることに気づいていない可能性があります。その結果、捜査令状なしで数百万台の携帯電話を追跡できる可能性のあるツールが生み出されています。
「RTB 由来の位置データは、広告が配信されたときに記録されます」とドキュメントには記載されています。この文書はプライバシー閾値分析(PTA)であり、これは新しい技術を導入または検討する際に国土安全保障省(DHS)が完了を義務付けられている一種の記録です。404 Media は情報公開法(FOIA)に基づく請求を通じてこれを入手しました。
imageドキュメントの一部。画像:404 Media。このドキュメントは、オンライン広告業界がいかにしてこのような監視体制を生み出したかを明らかにしています。従来、マーケターはクッキーを使用して消費者の活動を追跡していました。しかし、2010 年代にスマートフォンやアプリが普及し、その効果が低下したことで、Apple と Google は各デバイスに割り当てられる広告 ID(AdID)を創設しました。これらは固有の識別子であり、個人の電話番号や氏名を含んでいませんが、オンライン広告業界がデバイスを追跡するための手段を提供します。ドキュメントによると、「これにより、アプリ開発者は、デバイスに関連付けられた個人を特定できる情報(PII)に接続したり使用したりすることなく、日付/時刻および位置情報を伴うデバイスの消費者活動を依然として追跡・報告することが可能になります」。
本質的に、AdID は個人のデバイスと位置データの間にあるデジタルの接着剤として機能し、マーケター、あるいは監視請負業者や国土安全保障省(DHS)が、一連の移動を特定のデバイスに紐付けることを可能にします。そこから調査官はジオフェンスを描画して、一定期間内の特定エリアにあるすべての携帯電話を確認できます。多くのスマートフォン位置データツールでは、当局者がこれらのデバイスがさらにどこへ行ったかを確認でき、所有者の居住地や勤務先、あるいは他の機密性の高い場所を明らかにする可能性があります。
「これはウェブサイトやアプリの裏側で動作し、すべての人を危険にさらします。リアルタイム入札(RTB)は世界最大のデータ漏洩です」とライアン氏は付け加えました。
CBP はコメント依頼に応じましたが、CBP が現在もこのようなデータを依然として使用しているかどうかを問う内容であり、最終的にはコメントを行いませんでした。
image文書の抜粋。画像:404 Media。この内部文書は、CBP が 2019 年から 2021 年にかけて実施した「パイロット」プログラムに関するもので、「CBP の標的化、審査、分析、および違法ネットワークの発見プロセスを支援するもの」とされています。文書には、「評価は、越境犯罪活動および/または特定されたテロリスト・犯罪者の前科に関連する広告 ID に焦点を当てる」と記載されています。
CBP はこの動きをパイロットプログラムと説明していましたが、後の国土安全保障省監察官室(OIG)の調査により、CBP と ICE の両方が非運用目的に限定しなかったことが判明しました。OIG は、CBP、ICE、および秘密警察がスマートフォン位置データを違法に使用したことを発見し、さらに CBP の高官が捜査目的もなく同僚を追跡するためにこのデータを使用したことも突き止めました。その後、CBP と ICE は位置データへのアクセスを繰り返し購入しました。
2020 年、ウォール・ストリート・ジャーナルは初めて、CBP(米国税関国境警備隊)と ICE(移民税関捜査局)が Venntel というベンダーから商用の位置データを購入したことを報じた。この報道によると、ICE はそのデータを使用して後に逮捕される移民を特定するのを助け、CBP はメキシコ国境にある砂漠地帯など、不自然な場所での携帯電話の活動を探るためにそのデータを利用していた。その後、FTC(米国連邦取引委員会)は Venntel が適切な同意なしに収集された位置データを違法に販売したことを発見した。
1 月、404 Media は、ICE が最近購入した同様のシステムである Webloc の仕組みを説明する資料について報じた。このシステムは、特定の都市の近隣地区やブロックで携帯電話を監視し、その後 ICE がこれらのデバイスの動きを追跡して、それらがたどり着く可能性の高い自宅や他の場所まで遡ることを可能にするものだ。その資料には、ツールを販売している Penlink 社がどのように位置データを取得しているかは明記されていなかった。しかし、広義の監視企業は、通常 RTB(リアルタイム・ビディング)を通じて、あるいは一般的なアプリケーションに埋め込まれたソフトウェア開発キット(SDKs)と呼ばれる小さなコードの束を通じて、このデータを入手している。
「監視企業や下品なデータブローカーとの関係を断ち切らない限り、ビッグテック企業は事実上、ICE の法を無視した暴力とテロのキャンペーンに協力することになる。その結果、ウェブサイトやアプリ上のあらゆるインターネット広告が、ICE が次の作戦で使用する位置データを収集している可能性がある」と、ロン・ワイデン上院議員は 404 Media に対して声明の中で語った。
「議会が私の法案を可決し、政府によるデータ購入の禁止と、テクノロジー企業が監視型広告を利用することを禁じることで、これを止めることができるでしょう。それまでの間、一般市民が自分自身を守る最善の方法は、広告ブロッカーをインストールし、スマートフォンの広告 ID を無効化し、ブラウザでグローバルプライバシーコントロールを有効にすることです。これは現在 12 の州で義務付けられています」と声明には追加されています。
火曜日、ワイデン議員、アドリアーノ・エスパーリャット下院議員、および他の 70 人の立法者たちは、国土安全保障省(DHS)の監察官室(OIG)に対し、DHS の位置データ購入を再度調査するよう求める書簡を送りました。
「公的な報告によると、ICE は DHS がまだ以前のレビューからのすべての勧告を採用していないにもかかわらず、位置データの購入を再開したと示されています」と、ワイデン議員事務所が 404 Media に共有した書簡には記されています。「2023 年の報告では、DHS 全体として商用位置データのコンポーネント使用を規律する方針がないことが指摘されました。DHS は 2022 年に商用データ作業部会を作成しましたが、2023 年 4 月時点で、DHS の商用データ作業部会は依然として方針を発行していませんでした。あなたの事務所は最近、この勧告が未解決のまま残っていると確認しました。」
書簡によると、ICE はワイデン議員の Webloc 購入に関する調査への協力を「妨害」しているとしています。404 Media が最初にこれを暴露した後、ワイデン議員事務所は購入に関するブリーフィングを要請し、そのブリーフィングは 2 月 10 日に予定されていました。「そのブリーフィングのちょうど前日、ICE は説明もなく、再スケジュールの提案もなしにそれをキャンセルしました」と書簡には記されています。
1 月、ICE は情報提供の要請を発表しました。これは、能力のある企業が名乗り出るよう呼びかける Essentially なもので、広告技術へのさらなるアクセスを求めていました。発表によると、「ICE は業界の商用ビッグデータおよび広告技術(Ad Tech)プロバイダーが調査活動にどのように直接支援できるかをよりよく理解するために情報を収集している」とあります。「政府は、規制上の制約やプライバシーに関する期待を考慮し、連邦調査・運用機関が利用可能な、調査活動支援に適合する現在の広告技術(Ad Tech)および位置情報データサービスの現状を理解しようとしている」とも付け加えられています。
原文を表示
imageCustoms and Border Protection (CBP) bought data from the online advertising ecosystem to track peoples’ precise movements over time, in a process that often involves siphoning data from ordinary apps like video games, dating services, and fitness trackers, according to an internal Department of Homeland Security (DHS) document obtained by 404 Media.
The document shows in stark terms the power, and potential risk, of online advertising data and how it can be leveraged by government agencies for surveillance purposes. The news comes after Immigration and Customs Enforcement (ICE) purchased similar tools that can monitor the movements of phones in entire neighbourhoods. ICE also recently said in public procurement documents it was interested in sourcing more “Ad Tech” data for its investigations. Following 404 Media’s revelation of that ICE purchase, on Tuesday a group of around 70 lawmakers urged the DHS oversight body to conduct a new investigation into ICE’s location data buying.
This sort of information is a “goldmine for tracking where every person is and what they read, watch, and listen to,” Johnny Ryan, director of the Irish Council for Civil Liberties (ICCL) Enforce, which has closely followed the sale of advertising data, told 404 Media in an email.
Do you work at CBP, ICE, or a location data company? I would love to hear from you. Using a non-work device, you can message me securely on Signal at joseph.404 or send me an email at joseph@404media.co.
The document 404 Media obtained is the first time CBP has acknowledged the location data it bought came from the advertising industry. Specifically, CBP says the data was in part sourced via real-time bidding, or RTB. Whenever an advertisement is displayed inside an app, a near instantaneous bidding process happens with companies vying to have their advert served to a certain demographic. A side effect of this is that surveillance firms, or rogue advertising companies working on their behalf, can observe this process and siphon information about mobile phones, including their location. All of this is essentially invisible to an ordinary phone user, but happens constantly.
This sort of surveillance can happen through all sorts of innocuous seeming apps, such as video games, news apps, weather trackers, and dating apps. 404 Media has previously linked RTB-based surveillance to games like Candy Crush and Subway Surfers; dating apps Tinder and Grindr; the social network Tumblr, and the popular fitness app MyFitnessPal. In many cases, the app developers themselves are likely unaware they are acting as a conduit for government surveillance because the data collection is not based on any code the app creators have included themselves. The end result is tools that can potentially track hundreds of millions of phones, often without a warrant.
“RTB-sourced location data is recorded when an advertisement is served,” the DHS document reads. The document is a Privacy Threshold Analysis (PTA), a type of record DHS is required to complete when deploying or exploring a new technology. 404 Media obtained it through a Freedom of Information Act (FOIA) request.
imageA section of the document. Image: 404 Media.The document lays out how the online advertising industry gave birth to this sort of surveillance. Traditionally, marketers used cookies to track consumers’ activities. When those grew less effective due to the rise of smartphones and apps in the 2010s, Apple and Google created Advertising IDs, or AdIDs, that are assigned to each device. These are unique identifiers that, although they don’t contain a person’s phone number or name, still provide a way for the online advertising industry to track devices. As the document says, “this allows app developers to still track and report a device’s consumer activity, to include date/time and locational information, without connecting to or using any personally identifiable information (PII) associated with the device.”
In essence, the AdID acts as the digital glue between a person’s device and their location data, allowing marketers—or a surveillance contractor or DHS—to attribute a set of movements to a specific device. From there, investigators can draw geofences to see all phones at a particular area over a period of time. Many smartphone location data tools then let officials see where else those devices went, potentially revealing where their owners live or work, or other sensitive locations.
“It operates behind the scenes on websites and apps, and it puts everyone at risk. RTB is the world’s biggest data breach,” Ryan added.
CBP acknowledged a request for comment, which asked whether CBP is still using this sort of data, but ultimately did not comment.
imageA section of the document. Image: 404 Media.The internal document relates to a “pilot” program CBP previously ran from 2019 to 2021, which would “aid in CBP’s targeting, vetting, analysis, and illicit network discovery processes,” it says. The document says the “evaluation will be focused on AdIDs associated with cross border criminal activity and/or activity with an identified terrorist/criminal predicate.”
Although CBP described the move as a pilot, the DHS Office of the Inspector General (OIG) later found both CBP and ICE did not limit themselves to non-operational use. The OIG found that CBP, ICE, and the Secret Service all illegally used the smartphone location data, and found a CBP official used the data to track coworkers with no investigative purpose. CBP and ICE went on to repeatedly purchase access to location data.
In 2020 The Wall Street Journal was first to report on CBP and ICE’s purchase of commercial location data from a vendor called Venntel. The report said ICE used the data to help identify immigrants who were later arrested, and CBP used the data to look for cellphone activity in unusual places, including the stretches of desert on the Mexican border. The FTC later found Venntel illegally sold location data collected without proper consent.
In January, 404 Media reported on material which explained how a similar and more recently ICE-purchased system called Webloc works. It is designed to monitor a city neighborhood or block for mobile phones, then let ICE track the movements of those devices back to their likely homes or other locations. The material did not say how Penlink, the company selling the tool, obtains this location data. But surveillance companies broadly either obtain it through RTB, or small bundles of code called software development kits (SDKs) inserted into ordinary apps.
“By refusing to cut off surveillance companies and sleazy data brokers, Big Tech companies are effectively collaborating with ICE’s lawless campaign of violence and terror. As a result, every internet ad on a website or app could be collecting location data that ICE will use for its next operation,” Senator Ron Wyden told 404 Media in a statement.
“Congress could put a stop to this by passing my bills to ban the government from buying our data and ban tech companies from using surveillance advertising. Until then, the best way for the public to protect themselves is to install ad blockers, disable their phone's advertising ID, and enable the Global Privacy Control in their browser, which 12 states now enforce,” the statement added.
On Tuesday, Wyden, Rep. Adriano Espaillat, and a group of 70 other lawmakers sent a letter to the DHS OIG urging it to once again investigate DHS’s purchase of location data.
“Public reports indicate that ICE has resumed its location data purchases, even though DHS has yet to adopt all of the recommendations from your prior review,” the letter, shared with 404 Media by Wyden’s office, reads. “Your 2023 report noted that there was no DHS-wide policy governing component use of commercial location data. DHS created a commercial data working group in 2022, but as of April 2023, the DHS commercial data working group had yet to issue a policy. Your office recently confirmed that this recommendation remains open.”
The letter says that ICE is “stonewalling” Wyden’s efforts to investigate the Webloc purchase. Wyden’s office requested a briefing on the purchase after 404 Media first revealed it, with that briefing scheduled for February 10. “One day before that briefing was to take place, ICE cancelled it with no explanation and without any offer to reschedule,” the letter reads.
In January ICE posted a request for information—essentially a callout for capable companies to come forward—looking for more access to advertising technology. ICE “is gathering information to better understand how the industry’s commercial Big Data and Ad Tech providers can directly support investigations activities,” the announcement reads. “The Government is seeking to understand the current state of Ad Tech compliant and location data services available to federal investigative and operational entities, considering regulatory constraints and privacy expectations of support investigations activities,” it added.
関連記事
今日のまとめ
AI日報で今日の重要ニュースをまとめ読み