現在、米国でセキュリティ関係者やスマートフォンユーザーを騒がせている問題に「Carrier IQ」というソフトウェアの存在がある。これは携帯電話に組み込まれて出荷され、ネットワーク品質や端末の改良に利用するデータを収集する役割があるという。だが、ある研究者が必要以上にデータの収集を行って開発企業へとデータを送信している形跡があるとの報告を行ったところ、当該企業から訴訟を突きつけられて口止めを要求されたことで問題が拡大、その影響範囲や技術の適正さを巡って論争が続いている。

この背景の解説についてはWiredの記事が詳しいCarrier IQは、携帯電話に組み込みソフトウェアとしてツールを導入することで、ネットワークや端末の品質改善に必要なデータを収集し、それを適時携帯キャリアや端末メーカーにフィードバックするビジネスを展開している。Wiredによれば、Android、BlackBerry、Nokiaといった端末が同技術を利用しており、これまでに販売された膨大な数の端末へと導入されている。性質上、この企業の名称や技術について知るユーザーはほとんどいないとみられ、そのまま長らくユーザーの手元で利用されていたとみられる。だが米国在住のTrevor Eckhart氏が手持ちのHTCの携帯電話を解析してみたところ、さまざまなデータがCarrier IQに対して送信されていることを確認し、その事実を発表した。そして実際にどのようなデータが秘密裏に送信されているのかを動画としてBlog上に掲載し、閲覧者が詳細を確認できるような形で公開した。

Eckhart氏はこのソフトウェアの性質を「rootkit」だと評しているが、こうした同氏の一連の行動にCarrier IQは法的手段をちらつかせ、損害賠償請求を持って対処するとの構えを見せた。この動きに対して電子フロンティア財団(Electronic Frontier Foundation: EFF)が介入を試みたことで、Carrier IQは最終的に訴訟を取り下げている。一方でCarrier IQは話題の盛り上がり始めた11月中旬に緊急声明を発表するなど(PDFファイル)技術の正当性について説明を行っており、またWiredの取材に対しては「集めたデータはコールドロップの状況、信号品質の低下、アプリのクラッシュ、バッテリ駆動時間といった問題を把握するために使われている」と説明を行っている。これが発端となった事件の概要だ。

だが実際にはCarrier IQの説明以上に細かいデータの収集が秘密裏に送受信され、さらに対応デバイスの範囲が当初は対象外だとみられていたiPhoneにまで拡大したことで、影響範囲が実際にはかなり広いのではないかとみられるようになった。まずデータ収集方法については、送受信したテキストメッセージ、検索クエリー、写真、動画や音声まで、携帯上でやり取りされているほとんどのデータが対象になっているとみられる。Carrier IQではテキストデータ等の送受信はアプリやOSが正しく動作しているかを確認するためであり、ユーザー自身の挙動やその送受信内容の詳細には踏み込んでいないとしている。だがEckhart氏の解析によれば、例えばWeb検索でHTTPS通信を使って検索クエリーを確認したところ、そのデータがそのままCarrier IQに送信されていることが確認できたという。HTTPSは対応するサーバとクライアントの間で秘匿通信を行う技術であり、本来であれば第三者には傍受されない。それにも関わらずデータが丸見えであることから、Carrier IQがrootkitのように秘密裏にOSの深いレベルに食い込んで動作していることがうかがえる。またユーザーが押したボタンの履歴もリアルタイムで取得されており、例えばボタンを押して通話先電話番号を入力する場合、「発信」ボタンを押す前にすべての押したボタンの内容のサーバへの送信がすでに完了している状態だという。間違えた番号の入力の訂正も含めてすべてリアルタイムで把握されているほどだ。

そして影響範囲の問題だ。今回槍玉に挙がったのはHTCの端末だが、このソフトウェアはHTCが組み込んで出荷したということになる。だがWall Street Journalのレポートによれば、HTC自身はCarrier IQの顧客ではなく、一部携帯キャリア側からの要請でソフトウェアの組み込んで出荷していたという。Appleは以前まで利用していたものの、すでに使用を停止しており、Nokiaについてはこれまで利用したことはないとしている。GoogleもまたCarrier IQとは関係がないとしており、すべては個々の携帯キャリアや端末メーカーの判断に委ねられているようだ。一方でHTCが説明しているように、AT&T、Sprint、T-Mobileの大手3社はCarrier IQを組み込んで出荷するよう端末メーカーに要請しており、ソフトウェアの利用は携帯キャリア側の要望であることがわかる。

Appleについては上記のように以前のバージョンまで利用していた形跡があるようだが、それはThe Vergeが確認したと報じている。同誌はiOS 3.1.3のバージョンまで同ソフトウェアが取得したデータをサーバへ送信するためのリファレンスが存在していたことを確認しているとしているが、後にiOS 5を含むすべてのバージョンに存在する機能であったことが判明したと発表した。だがAppleが指摘するように、機能の痕跡こそあるものの、すでに現行バージョンでは機能が無効化されており、実際にデータが送信されることは"ほぼ"ないようだ。機能が完全に遮断されたわけではないこと、もしユーザーが意図的に機能を停止させる場合の設定方法についてはComputerworldが手順を紹介している。具体的には設定項目でDiagnosticsモードの機能を切ればいい。

まだリアルタイムで展開中の話題であり、今後どのような展開を見せるかは不明だが、すでに騒ぎが大きくなってしまい、政府機関や政治家らも動いてしまっていることもあり、おそらく「問題ない」で済ますことはできないだろう。今回Eckhart氏が具体的な収集データの概要を示したことで多くのユーザーの目に触れることになり、携帯キャリアがこうしたモニタリングツールを導入することに拒否感を示すことになるはずだ。最終的に大幅に機能を縮小したツールを導入する、あるいは取り除かなければならなくなる可能性がある。そして、今後Carrier IQのビジネスの行方や携帯キャリアらがどのような代替手段を用意してデータ収集を行っていくのかに注目が集まることになる。もし新たな動きがあった場合は、追ってレポートしていく予定だ。

(提供:AndroWire編集部)