ハクソク

世界を動かす技術を、日本語で。

Oura、政府からのユーザーデータ要求を受けていると発表

2日前原文(this.weekinsecurity.com)

概要

  • Oura が米国政府や Palantir との契約でプライバシー懸念が拡大
  • ユーザーデータの エンドツーエンド暗号化 が未実装
  • 社内スタッフや政府がデータにアクセス可能な設計
  • 透明性レポート の公開要請に応じていない現状
  • 利用者の信頼確保のため、 情報開示の必要性 が高まっている

Ouraリングとプライバシー問題

  • Oura は健康データを記録する 指輪型ウェアラブルデバイス の開発企業
  • 心拍数、睡眠パターン、 月経周期、位置情報など多数の個人情報を収集
  • これらのデータは Ouraのサーバー に保存
  • 2023年、 米国国防総省とPalantir との契約締結でSNS上で大きな議論
  • 一部ユーザーは トランプ政権 下でのデータ悪用を懸念

データの流れとセキュリティ設計

  • Ouraリングのデータは 指輪→スマホアプリ→インターネット→Ouraサーバー へ送信
  • エンドツーエンド暗号化 が未導入のため、経路途中やサーバー上で データの復号 が可能
  • 社内スタッフが トラブル対応等でユーザーデータにアクセス できる設計
  • 検察官の令状、ハッカーによる不正アクセス、内部不正のリスク

政府からのデータ要求とOuraの対応

  • Ouraは 「政府からのデータ要求を受けることがある」 と認めている
  • 要求ごとに 合法性・範囲・必要性 を審査し、不当な要求には抵抗すると説明
  • ただし、 要求件数やデータ提供頻度、要求内容 は非公開
  • 利用者数は 550万リング超 (2023年時点)

透明性レポートの必要性

  • 多くのテック企業は 政府からのデータ要求件数を集計して公開 する透明性レポートを発行
  • Ouraは「 集計データの安全な公開方法を検討中」と以前は回答
  • しかし、 8ヶ月経過後もレポート未発表・問い合わせにも無回答
  • 利用者の信頼維持のためには、 政府からの情報要求件数の開示 が不可欠

Ouraとヘルスウェアラブル業界の課題

  • Ouraに限らず、多くの企業が 社内アクセス前提の設計 を採用
  • かつては資金不足が理由だったが、 Ouraは時価総額110億ドル超の大手
  • 今後は 十分なセキュリティ投資と説明責任 が求められる

まとめと今後の期待

  • Ouraは利用者のプライバシー保護強化と透明性向上 が急務
  • 他のテック企業同様、 透明性レポートの定期公開 が信頼回復の鍵
  • 利用者・社会からの 監視とフィードバック の重要性

お問い合わせ・ご意見は this@weekinsecurity.com まで

Hackerたちの意見

前のブログで、Ouraのデータがエンドツーエンドで暗号化されていないことを明らかにしたんだ。つまり、Ouraユーザーの健康データは、リングからスマホアプリを経由してインターネットを通り、Ouraのサーバーに到達する過程で、特定のポイントで解読される可能性があるってこと。なんか変だよね。エンドツーエンドの暗号化と、転送中の暗号化を混同してるみたい。

それに、静止状態でも暗号化されてないみたいだね。もしかして、転送中のデータはユニークなe2e IP交換として扱われてるのかな?

私の理解では、E2E暗号化は転送中の暗号化を意味するんだ。メッセージは送信元で暗号化され、受信先でのみ復号されるから、その間はずっと暗号化されてるってことだよ。

エンドツーエンドの暗号化と静止時の暗号化を混同してるよ。

あまり奇妙ではないけど、E2EEって言葉がよく使われてて、みんなそれぞれ解釈が違うよね。場合によっては期待が非現実的なこともあるし。サーバーを仲介者として使うメッセンジャーアプリを考えてみて。E2EEっていうのは、2人のユーザーだけがコンテンツを見られるってこと。仲介会社のサーバーは見れない。Ouraの場合はユーザーと会社のサーバーしかないから、多くの人がOuraはデータを読めないと思ってる。SignalやWhatsAppのサーバーがE2EEのおかげでデータを読めないのと同じようにね。マーケティングがこの誤解を助長することも多い。もしE2EEを主張するなら、ユーザーとサービス(リングかアプリ)の間のインターフェースで暗号化が義務付けられて、データはOuraのサーバーの向こう側でしか復号されないべきだよね。もしこの2つの間でデータが復号されたら、それはE2EEじゃない。

何が混同されてるのかわからない。著者はデータがE2EEではないことを明確にしてる。データは転送中に暗号化されてるみたいだし(これはここ20年くらいの常識)。データが「特定のポイントで解読される」って言うのは、非技術的な読者にとって二つのアプローチの実際の違いを説明するのに合理的な方法だと思う。

月6ドル払って、Fedsに監視されてる男

携帯電話サービスの広告を見る限り、ほとんどの人はFedsに監視されるためにそれ以上の料金を払ってるよね。

かつてはレスポンスが良かったOuraは、私の問い合わせにはまだ返事をくれないし、イリノイ州の厳しいバイオメトリックプライバシー法に基づいて数字を公開することも約束していない。イリノイ州の住民の保護された情報をテキサスの警察が問い合わせることを禁止するのに、Ouraが特に気を使っているとは思えないな。 [1] https://en.wikipedia.org/wiki/Biometric_Information_Privacy_...

そんな規定を無視しても、深刻な結果になる可能性がほぼゼロなんだから、慎重になる理由がないよね?

とはいえ、店で買ったスマートTVの自動コンテンツ認識(ACR)にはもっと心配してる。自分が見てるものを全部、知らないうちに送信してるかもしれないから…

それが心配なら、テレビにインターネットを繋げずに、シールドTVやアップルTVみたいなテレビボックスを使った方がいいよ。

スマートTVの自動コンテンツ認識(ACR)についてもっと心配してるの?テレビ視聴のプライバシーの方が医療データよりも気になるの?なんか真面目なスレッドを変な方向に持っていってるね…

政府は私の心拍数や血中酸素データで何をするつもりなんだろう?「スミスさん、また走ってるな。取り調べのために連れてこよう!」って感じ?編集:はっきり言うと、政府がデータを要求してるから、何かしらの目的があるのは明らかなんだけど…でも、何をするつもりなのか全然見えない!

アレックス・マードックの裁判では、iPhoneのピックアップや位置情報データを使ってストーリーを作ってたから、似たようなことがあるんじゃないかな。

ターゲットは、2002年にティーンエイジャーの女の子が妊娠しているかどうかを、単一の小売店でのリワードカードデータを基に推測してたんだよね。テック企業がVCに話すときは、「集めたデータとAIを使って、どれだけ creepy なことが推測できるか見てみて!私たちは、同じ業界の非テック企業の50倍の価値があるんだ」とか言ってるけど、顧客に対しては「プライバシーについて聞くなんて、あなたは本当におかしいよ。そんな単独の変数に何の役に立つの?」って感じだよね。

それに、女性の場合、生理周期を知るために生物的な信号を使えるから、見逃しちゃうこともあるよね。

彼は、警察が人を追いかけてる時に走ってたんだ。捕まえよう。

もう誰も気にしてないみたいだけど、2000年代に人々が心配してた大きな問題は、「自分のことは自分が一番知ってる」から「その大きな塊(企業や政府など)に、あの日自分がどこにいたかを思い出させてもらう必要がある」っていう変化だったんだ。心拍数や血中酸素データは利用しづらいデータポイントだけど、全く不可能ではないし、あなたの動きについて自分よりも詳しい人から非難されるのは不快なシナリオだよね。もちろん、今その手の非難を受けてるなら、たぶんそれは正当なものか、そうでなくても弁護できるものだろうけど、15年前のトルコではそうだったけど、今は違う。状況は変わるんだよね。

アメリカ以外で外を走った後にタクシーを呼ぶ?多分、公共交通機関を逃したんだろうね。値段上げてくれよ…昔のUberみたいに、iPhoneのバッテリー残量で料金が変わるやつ。ほんと、悪いこと考えたら無限の可能性があるよね。健康が悪い?保険料上げる?他にももっと悪いことが思いつかないけど。追記:文法

Ouraから心拍数や血中酸素データを買ったり、Eyezから虹彩データを集めたり、Borgからフィットネスデータを購入したり。Krumpを通じて購買パターンを見たり、Gwimpでオンラインで言ったことを全部把握したり。FamaTreeからは配列されたDNAをゲット。ほぼすべてのアプリから位置情報データを追跡してる。こんな単一の変数から何ができるっていうの?

いつ起きてるか、どれくらいの頻度で寝てるか(どれだけよく眠れたかも含めて)、病気か、セックスしてるか、酔っ払ってるか、ハイか、不安か、イライラしてるか、リラックスしてるか、トイレに行ってるか、生理中か、薬を飲んでるか、などなど、全部わかるんだよね。これらのデータを他のデータと組み合わせて時間を追って追跡すると、驚くほどプライベートな情報が得られるから、OuraやFitbitみたいな会社がそれを手に入れたがるのも納得。

おそらく、犯罪容疑者の生体データを集めて、他の法医学データと関連付けるためだと思う。このデータをケースごとに取得するのは高くつくから、殺人や銀行強盗みたいなハイリスクなケースで使われることが多いんじゃないかな。警察や検察が勝利を示す必要があるからね。例えば、AはBの仲間だったことが知られている。Bは特定の日時に暴力的に亡くなった。電話データで、二人がその時間帯に同じエリアにいたことがわかる。Aは evasive で話そうとしない。でも、Aの生体データはBの死の時間帯に激しい身体活動があったことを示している…このスレッドの他の提案、例えば、一般の人々にとって状況を悪化させるアルゴリズム的なことは、全ての匿名性がなくなった人口に対して継続的に利用可能であることを前提にしている。

フィットネストラッカーが誰かを殺人に結びつけるのに使われた話を見たことがある。 https://en.wikipedia.org/wiki/Murder_of_Connie_Dabate

Ouraも考えたけど、結局Apple Watchにしたよ。安心のために、ペアリングしたiPhoneで高度なデータ保護をオンにした。大手データプロバイダーで、ADPのE2EE保護とゼロアクセス暗号化に匹敵するものを提供してるところは、特にアクティビティトラッカーの分野ではほとんどないね。

Garminは完全にオフラインで使えるの?私の知る限り、無線ハードウェアがない時計もあって、合理的な環境で使えるようになってるみたいだよ。

どっちにするか迷ったけど、Ouraが睡眠トラッキングとバッテリー持ちで勝ったよ。選択肢の一つとして、Apple Healthにデータ同期を有効にして、定期的にOuraアカウントを削除・作成して過去の健康データを消去するって手もあるかな。あまり良いワークフローではないけど、Ouraを使いながらApple HealthでE2EEの恩恵を受けられるし(Ouraの「アカウントと全データを削除」が本当に機能するならね)。

中国やロシアの悪い政府からのものなの?ああ、違う…

なんで神様の名のもとに、健康データを集めて売るデバイスを買って(サブスクリプションまで払って)しまうんだろう…その代わりに数字のプラセボダッシュボードがあるだけなのに。

なんで神様の名のもとに、健康データを集めて売るデバイスを買って(サブスクリプションまで払って)しまうんだろう…主にソーシャルメディアのせいだね。

スノーデンの暴露からもう10年以上経ったよね。大手テック企業があなたの個人データを大量に集めて、アメリカ政府とこっそり共有してるのはみんな知ってる。リクエストなんてないし、たまにじゃなくて、すべてのデータを。国家安全保障令状みたいな正式な仕組みもあって、基本的に黙ってることが保証されてる。なのに、どうしてこんな記事が出てくるんだろう?ウェアラブルデバイスの会社が「もしかしたら」データを「時々」共有してるかも、みたいな疑念を呼び起こすような。自発的な透明性を期待するなんて。そう、政府はあなたを監視してる。あなたが重要だからじゃなくて、みんなを監視してるから。安くて便利で、今のところ政治的な悪影響もないしね。参考文献: * https://en.wikipedia.org/wiki/National_security_letter * https://www.pcmag.com/news/the-10-most-disturbing-snowden-re...

なんでこのデータをクラウドに保存する必要があるの?