ハクソク

世界を動かす技術を、日本語で。

Googleが私の電話番号を共有しました

365日前原文(danq.me)

概要

  • Three Ringsの創設者が、個人携帯番号がGoogle検索結果に表示される問題に直面
  • Google Business Profileの予期せぬ動作による個人情報の公開
  • 電話サポートを提供していないにもかかわらず、ユーザーからの直接電話が急増
  • 個人情報漏洩のリスクと管理の難しさ
  • オルタナティブな検索エンジン利用の提案

Three Rings創設者の個人情報流出体験

  • Three Ringsは ボランティア/ローテーション管理ソフトウェア として運用
  • 通常は メールやWebベースの問い合わせ対応 のみの体制
  • 最近、 直接電話が急増 し、原因調査を開始
  • Google検索で「Three Rings login」と入力すると 個人携帯番号が表示 されている事実を知る
  • 過去の Google本人確認プロセス で登録した番号が、突然公開情報に
  • Google Business Profileにログインし、 番号を削除 して問題解決
  • 削除後、「Googleによる電話番号の更新」通知も消え、詳細の確認不可

個人情報管理の難しさと不安

  • 直近2ヶ月で、 別件でも個人情報が誤送信 される事態に遭遇
  • Halifax銀行が クレジット契約情報を誤送付
  • 誤操作やポップアップ での同意が原因かと不安を感じる
  • 「誰も利用規約なんて読まない」という 苛立ちと不信感

Three Ringsボランティア募集案内

  • Three Ringsは 2002年創設、最年少メンバーよりも長い歴史
  • サポートチームの拡大 に向け、経験者ボランティアを募集中
  • 世界中の 数十万人のボランティア支援 を目指す

Google以外の検索エンジン推奨

  • Google Searchの利用を見直す タイミング
  • プライバシー重視、広告の少なさ、AIノイズの排除 など、他にも優れた選択肢
  • 自分に合った 検索エンジンの比較検討 を推奨

Hackerたちの意見

もしかしたら、誰かのユーザーが電話番号を持ってて、役に立つかもって思ってビジネスプロフィールを更新してくれたのかもね。

ランダムなユーザーがビジネスの電話番号を更新できて、Googleがその番号の持ち主に許可を取らずに公開するって、めっちゃ大きな見落としじゃない?

スクリーンショットには「あなたの電話番号はGoogleによって更新されました」ってはっきり書いてあるよね。これって、ユーザーの入力とは思えないんだけど。

Googleが私のプライベートの携帯番号をプレイストアに公開しちゃったんだ。ビジネス番号の認証を一ヶ月以上かけて試みて、アカウント停止の脅迫を受けて、もう選択肢がなくなったから。

スクリーンショットではぼかされてるけど、なんとなく見える気がする。

確かに読めるね。もっと強くぼかしても状況は良くならなかったと思う。ぼかされた画像から情報がどれだけ再構築できるかって、ほんとにクレイジーだよ。例えば、次の画像の「データ」列を見てみて。基本的に内容がない灰色の画像に見えるけど、ニューラルネットワークはぼかされた文字のほとんどを復元できるんだ。 https://fips.fi/wp-content/uploads/2024/07/HDC_result_exampl...

新しいAIクローラーが画像からテキストを抽出するって聞いたけど、それで追加のデータセットを手に入れられるかもね。こんな感じのぼやけた画像だと、LLMに使われちゃうかも。

ブログの管理人です。ぼかしを外してもいいですよ:スクリーンショットの番号をOfcomの公式に割り当てられない電話番号リストの中から、ドラマ(映画やテレビ)用の番号に差し替えました(https://www.ofcom.org.uk/phones-and-broadband/phone-numbers/...)。その番号は私のものじゃないし、誰のものにもならないよ!

それにしても、07700 987654って偽の番号っぽいよね。

敏感な情報をデブラーするためのコンピュータ技術があるから、専門家のアドバイスとしては単純なぼかし効果は使わない方がいいって。けど、この場合、特別なソフトウェアがなくても数字を読むのは簡単だよ。@author、もしぼかした理由が自分の身元を守るためなら、すぐにその画像を更新した方がいいよ。全然番号を隠せてないから。

Google検索を使ってる誰でもビジネスの電話番号を編集できるんだって。変だけど、事実だよ。 https://www.google.com/search?q=Three+Rings+CIC&hl=en#irp=ph

Googleアカウントを持ってる人なら、Googleマップを使って編集提案を送れるけど、公開前に全部レビューされるよ。ビジネスが存在しないとか、住所が違う、新しいウェブサイト、既存のウェブサイトが動かない、新しい営業時間など、色々知らせることができる。ビジネスだけじゃなくて、バス停や駅、歴史的なランドマークなど、ピンを落としてデータベースのエントリーが見える場所なら何でも含まれる。これ、多分検索のプロセスに関連してるんだ。これを「クラウドソーシング」って呼ぶんだよ。 https://support.google.com/business/answer/3038311 記事ではGoogleビジネスプロフィールの管理について触れてる。昔は「Googleマイビジネス」って呼ばれてたこともあったね。オーナーとして登録して認証を受ければ、レビューに返信したり、自分のマップエントリーを管理したりするためのツールが使えるようになるよ。 https://business.google.com/us/business-profile/

Googleが民間企業に訴えられないとこうなるんだよね。ドイツでは、lieferando(takeaway.comの子会社)がレストラン名-都市名.deの形式でドメインを登録して、自社のCloudflareアカウントにポイントさせてるんだ。それで、電話番号を自分たちのコールセンターに設定して、Googleビジネスのエントリーの所有権を主張してる。そしたら、ビジネスオーナーに電話して、契約を強制的にサインさせるんだ。オーナーはGoogleで見つからなくなることを知ってるから、注文したい人はコールセンターにかけるしかなくて、間違った番号を教えられてネガティブなレビューを残すことになる。これでビジネスが潰れちゃうんだよね。lieferandoで働いてる派遣社員もこれを知ってて、電話の中でレストランオーナーにプレッシャーをかけて売上の手数料を取ろうとする。Crimeflareが閉鎖される前は、こういう手口で約13万のドメインがlieferandoのウェブサイトに向けられてた。私はこの方法で強要された地元のビジネスオーナーのためにデータセットを提供したんだけど、結局誰も訴えられず、経済的損害も小さすぎて欧州裁判所に持ち込むこともできなかった。残念ながら、アメリカのように集団訴訟は機能しないみたい。要するに、Googleは法律を守らず、持株会社の財務構造のおかげで逃げ切ってるんだよね。彼らもそれを知ってるけど、全然気にしてない。

うわぁ。ドイツのメディアでこの件について良い記事とかあった?

それはめちゃくちゃヤバいね。Googleにはビジネスの所有権を争う方法がないの?ビジネス名を含むドメインを登録するだけで、地図上のビジネスを乗っ取れるの?

なんでGoogleは訴えられないの?

これは15年くらい前にBlackHatWorldでよく取り上げられてた手法だね。VC企業がやっとこれを活用し始めたのが嬉しいよ…

小さなビジネスに対して、Googleのエコシステムを武器にするのがこんなに簡単だなんて、恐ろしいよね。

これは、あなたの言うところの恐喝をしている会社を訴えられないってことについてであって、Googleのことじゃないと思うよ。

あなたのウェブサイトには電話番号が載ってるし、同じ番号がビジネスのGoogle Play開発者プロフィールにも公開されてるよ。間違ってたら教えてほしいけど、どちらもあなたが公開してるよね。個人用とビジネス用の番号を同じに使うのは意外じゃないと思う。最初はGoogleがこれを公開電話番号として出すのはおかしいと思ったけど、Google Playが顧客が連絡するための電話番号を明確に尋ねてたと思う。

投稿者です。ウェブサイトには電話番号は載せるべきじゃないと思うけど(見当たらないし?)、Google Play開発者プロフィールは不運だね。指摘してくれてありがとう。

このコメントには少なくとも3つの代替説明が書かれてるね。オッカムの剃刀を適用すると、投稿に書かれてる説明が一番可能性が低いように思える。これを明らかにする方法の一つは、Takeoutを使ってデータのコピーを取得して、まだその番号を持っているか、何のために持っているのかを確認することだね。

Googleがビジネスプロフィールに対してTakeoutを提供してるかは分からないな。ビジネスは個人が守られてるようなPII保護法(GDPRとか)で守られてないことが多いから、テック企業はデータの一括エクスポートを簡単にするツールを作るのにあまり乗り気じゃないんだよね。

同じだね。ある日、午前2時に電話がかかってきた。数年前、今は存在しない会社で働いてたんだけど、彼らはIDシステムに関連した求人サービスを持ってたんだ。自分のプロジェクトもやってて、Python開発者が必要だった。若くて無知だったから、ジュニアを見つけてすぐに育てられると思って、「経験なしのPython開発者を探しています」って求人を掲示板に投稿したんだ。そしたら、電話番号が表示されてて、オフにできなかった。変な人たちから3~4回電話がかかってきて、プログラマーになる方法を教えてくれって言われた。なぜかみんな午前5時頃に電話してきた。最初の人にはちょっとしたアドバイスをあげたけど、あまりの厚かましさに驚いてしまったよ。今はプライベートとデータ漏洩を分けるために、4つの電話番号を使ってる。

数年前の確認プロセスから静かに個人番号を吸い上げて、後でそれを公開することに決めたのは、小規模で怪しい広告技術会社に期待するようなダークパターンそのものだね。世界最大の会社がやることじゃない。

個人データについてのデフォルトの仮定がこれだって思ってるのは、俺だけじゃないよね。

可能性はあるけど、Three Ringsアプリを作ったGoogleアカウントが、電話番号(+44 7795...)を使って、Three Ringsのウェブサイトの所有権も主張したんじゃないかな。Googleが提供してるドメインツールを使って。そうなると、開発者はThree Ringsの顧客が連絡できる方法をGoogleに提供して、その番号を公開したってことになる。なんでアプリの開発者がGoogle Playのビジネス連絡先に個人の電話番号を使ったのかは分からないけど、それが一番納得できる説明かな。もし著者がその電話番号をGoogle Playに提供していなかったら、番号を削除するために情報を更新しないといけないし、そうしないとまたGoogle検索ページに表示されるのは時間の問題だよ。

うちの場合、Googleが商工会議所の登録から会社の電話番号を更新したんだ。電話サポートは提供してないけど、法律でその登録に電話番号を載せなきゃいけない(オランダではね)。そこで、ボイスメールに直結するVoIP番号を入れて、「電話サポートはやってません」って伝えてる。だからGoogleビジネスプロフィールからは削除したんだけど、たまに「親切に」戻されることがあるんだよね。