企業が合法的にデータを収集する方法—およびそれらを停止する方法

公開済み 更新しました
Cover image for: 企業が合法的にデータを収集する方法—およびそれらを停止する方法

2018年、Cambridge Analyticaは、クイズアプリを使用した数千のアカウントからデータを取得した後、知らないうちに少なくとも8,700万人のFacebookユーザーのデータを収集したことが発見されました。

オンラインのデータ収集は潜行的で継続的です。今日、以前よりも多くのデータを収集できるようになりました。人々は、2日に1度、2000年までのように多くのデータを作成します。この規模で見ると、個人データは無害に見えるかもしれません。

Facebook、Google、Amazonなどの企業は、この種の貴重なデータへのアクセスを得るために、罰金と評判のヒットで異常な額を支払ってきました。 OnavoやFacebook Researchなどのプログラムを使用してFacebookによって収集されたデータ(ティーンエイジャーやその他の人々にデータへのほぼ無限のアクセスを支払った)は、WhatsAppがMessengerの2倍以上頻繁に使用されていることを発見し、Facebookに購入のきっかけを与えました2014年のWhatsApp。これは非常に価値があることが判明しました。

実際には、データ保護は、消費者がすべての企業が行うことを信頼できるものではありません。代わりに、データを保護するには、予防的なアプローチが必要です。この記事の目的は、データの脆弱性を認識することにより、データを保護することです。最後に、データを安全に保つためにできることについていくつかのヒントを紹介します。

暗いパターンに注意してください

多くのOnavoユーザーは、多くのデータにアクセスでき、このデータがFacebook使用されることを知らなかった可能性があります。 Onavoには、ユーザーの電話へのルート権限と、コンピューターへのVPNアクセスが必要で、Facebookはユーザーデータへの親密なアクセスを許可しました。ソーシャルメディアアプリのプライベートメッセージ。インスタントメッセージングアプリからのチャット(これらのチャットで送信された写真やビデオを含む);メールインターネット閲覧履歴;また、位置情報はすべて、オナボを使用してFacebookからアクセスできました。

もちろん、アプリやウェブサイトがこのデータに合法的にアクセスするためには、まずユーザーから許可を得る必要があります。企業がこのような許可を公然と明示的に要求した場合、ユーザーはこれらの要求を拒否する可能性が高くなります。その結果、多くの企業が複雑な「暗いパターン」の迷路を利用して、ユーザーデータへのアクセスを巧妙かつ合法的に獲得しています。

暗いパターンは、結果が得られるために使用されます。次の1つ以上が当てはまる場合、ユーザーは企業に許可を与える可能性が高くなります。

a。ユーザーは、他に選択肢がない、または許可を与えることが最速かつ最も簡単な方法であると感じています。

企業は、サインアップ中にアクセスを拒否する手順を不明確で複雑にすることにより、ユーザーがアクセスの許可を回避するのを困難にすることがよくあります。権限を取得するこの「ローチモーテル」方式は、 LinkedInがユーザーに連絡先リストへのアクセスを拒否するために必要とする悪名高い複雑なパスで見ることができます。

多くの場合、すでに許可されているアクセスを削除することは、最初にアクセスを許可するよりも複雑です。データまたはCookieの追跡アクセス許可の設定は、多くの場合、予想される領域(「プライバシー」セクションなど)にはありません。誤解を招く表現や異常な行動も混乱を引き起こすために使用される場合があります。たとえば、ユーザーは、許可の提供を「オプトアウト」するためにボックスにチェックマークを付けるように求められる場合があります。

Send me details or do not send me details?
詳細を送信するか、送信しないか?

b。ユーザーは、アクセス権を付与していることに気付いていません

多くの場合、許可の付与は、パスワードの作成など、より明確な別のステップに追加されます。この方法を採用すると、ユーザーが特定のデータ許可に同意したことを特定する可能性が低くなります。小さな活字を使用すると、そのような契約が見落とされる可能性も高くなります。

Set a password and sign up for offers?
パスワードを設定してオファーにサインアップしますか?

c。ユーザーはすぐに行動するようプレッシャーを感じる

これは通常、次の3つの圧力戦術のいずれかによって達成されます。

  1. 希少性の感覚を作成します。 Booking.comは、あなたがすぐに予約をするように誘惑するために、「 残り1部屋 」していると誤って主張します。
  2. 時間的プレッシャーの導入。フライトやチケットなどの特定のアイテムを購入する場合、この戦術に精通しています。予約会社はカート内のアイテムに時間制限を設けています。企業も同様の戦術を使用して、データから許可を得ることができます。Facebookは偽の赤い通知ドットを使用しているようだこれは、ユーザーがメッセージを読むために急いで同意するように誘うために、ユーザーが新しいプライバシー契約に同意するように求められたときに表示されました。
  3. 戦術を恐れさせる。ここにありますFacebookが使用した用語顔認識データへのアクセスを要求する場合:“顔認識をオフのままにすると、他人があなたの写真を使用してあなたになりすましている場合、このテクノロジーを使用できなくなります。残念ながら、データを保護するためにデータにアクセスする人々と、それを吸収しようとする人々との区別があいまいであるため、データ収集では恐ろしい戦術が遍在しています。

逆に、オンラインシステムのユーザー理解を促進するために作成されたJakob Nielsonの10のユーザビリティヒューリスティックのうち3つは、混乱と発疹の決定を促進するために設計された暗いパターンによって破壊されることが多く、これは、正しいアイテムをクリックすることを示唆するガイドの色とレイアウトと組み合わせて(強調表示されます)セクション、緑色のボタン)を使用すると、ユーザーが個人データへのアクセスを希望するユーザーが設定した所定のパスをたどることができます。

法律が議論の余地なく破られたとしても、罰はしばしば深刻な抑止力として機能するほど重要ではありません。法律に違反していることが判明した大規模なハイテク企業は通常、YouTubeが1998年児童オンラインプライバシー保護法(COPPA)に違反したことが判明した後、2019年後半にGoogleが1億7000万ドル支払ったなどの罰金で処罰されます。これは間違いなく多額ですが、 企業の利益の表面をかろうじて削ってしまい、巨大なテクノロジー企業に対するそのような罰則の有効性に疑問を投げかけています。

暗号化は完全ではありません

iPhoneを使用している場合(設定をいじらないで)、データの多くは既に暗号化されています。すごい!暗号化とは、ハッキングできないことを意味しますか?まあ、ちょっと。理論的に強力なコンピューターは、暗号化されたデータを解読できるようになりますが、それはおそらく数百年先です(暗号化されたデータにアクセスする必要があります)。

データが暗号化されているからといって、常に安全であるとは限りません。たとえば、暗号化へのさまざまなアプローチを検討してください。 「エンドツーエンド」暗号化は、通信の両端および転送中にデータが暗号化されることを意味するため、ゴールドスタンダードです。ただし、多くのサービスは特定の状況でのみデータを暗号化しますが、必ずしもデータが会社の最後にあるか、デバイスに「保存されている」わけではありません。

実際、多くの個人データは常に完全に暗号化されているわけではありません。ブラウザからサイトまたはサービスへの接続が安全であると表示される場合がありますが、それは基礎となるサービスが安全であることを意味しません。 GmailとEvernoteは暗号化を使用する製品の例ですが、エンドツーエンドの暗号化ではありません。これが、Google社員がユーザーメッセージを読むことを可能にしたものです。 (Googleがそれ以来多くの安全対策を実施していることは注目に値しますが、それでも実践されています 。)

場合によっては、企業は完全に暗号化されていると思われるデータを他の企業に渡す場合があります。サードパーティのメールアプリを使用している場合は、サードパーティのメールアプリもデータにアクセスできる可能性があります。 Googleでは、サードパーティアプリがメールデータにアクセスすることを許可しています 。つまり、データへのフルアクセスを持つサードパーティアプリも、 特にアクセスをリクエストすることなく 、合法的にメールを読み取ることができます

AmazonのAlexaなどのスマートスピーカーからの録音は、 転送中に暗号化されますが 、Amazonのクラウドに到達すると効果的に暗号化されないため、1人の顧客に別のユーザーのAlexaから取得した1,700個のオーディオファイルを送信できます

暗号化キーの保護

データを完全に安全にする方法で暗号化することができます。エンドユーザーのみがアクセスできるキーで暗号化されたデータを企業が保存する場合、その企業とそのキーを持たない他のユーザーはデータを復号化できません。そのようなデータにアクセスする方法がない場合、そうでなければセーフガードを必要とするすべてのものがなくなります。会社は買収されてポリシーを変更できず、データがスリップしてデータを共有できなくなります。 。

よく保護されていると広く考えられているiPhoneおよびiPadのiCloudバックアップは、Appleがそれらを復号化するためのキーを保持しているため、他のユーザーが完全にアクセスできないわけではありません。それらのデータ( ここでこれらのトレードオフを検討します )、またはFBIから圧力の結果として作成されました。

iCloudバックアップは脆弱ですが、ヘルス、iCloudキーチェーン、パスワードなどの他の機密データはAppleが保持していないキーで完全にエンドツーエンドで暗号化されているため、この情報にリモートでアクセスすることはできません。これはすべてのAppleストアのデータには当てはまりませんが、中央キーストレージなしのエンドツーエンドのセキュリティはAppleのユニークなセールスポイントの1つです

Appleは、アプリ開発者が構築できる「CloudKit」というフレームワークを提供し、CloudKitに保存されたデータはエンドツーエンドで暗号化されます。これを有効に活用する開発者の一例は、メモを取るアプリであるBearです。 BearはデータストレージにAppleのテクノロジーを使用しているため、 Bearのプログラマー自身もデータアクセスできず 、Appleもアクセスできません 。データ所有者のみができます。

このようなシステムの構築には注意が必要であり、無害な間違いが暗号化の有効性を弱めることは容易です。 Appleの「iCloudのメッセージ」サービスにはこの問題があります。Appleはこのデータのキーを明示的に保持しませんが、キーのコピーをユーザーのiCloudバックアップに含めることができ、Appleはキーを保持します。したがって、あるサービスが別のサービスのロックを解除するキーを提供できます。

Google Playのすべてのアプリが安全というわけではありません

AppleがApp Storeで入手できるアプリは、ダウンロードが許可される前にAppleが入念にレビューするため、安全である傾向があります。 App Storeでアプリを入手することは、Google Playでアプリを入手するよりもはるかに時間と費用がかかるため、これはアプリ開発者にとって抑止力と見なされることがよくあります。この理由は、Google Playのアプリレビュープロセスがそれほど厳しくないためです。これは開発者にとっては良いことかもしれませんが、安全でないアプリや悪意のあるアプリでもGoogle Playストアに登場する可能性が高くなるため、消費者にとっては悪いことです。 Facebook ResearchとOnavoからのデータマイニングの規模が明らかになったとき、AppleはすぐにApp Storeからアプリを削除しましたが、Onavoは数週間後にGoogle Playで利用可能になり、最終的にFacebookによって削除されました。

2018年4月、 Sophos LabsのレポートはGoogle Playの200個のアプリを調査し、サービスで利用可能なすべての無料のウイルス対策アプリの50%以上が「不正なソフトウェア」に分類されると結論付けました。レポートでは、一部のアプリが3億から4億回ダウンロードされたことに留意し、AndroidユーザーにGoogle Playストアから無料のウイルス対策アプリをダウンロードしないよう警告しました。

これらの悪意のあるアプリのほとんどの主な目的は、削除するために支払いが必要なウィルスがあるとユーザーに信じさせることでした(一部のアプリはウィルスをダウンロードし、その主張を検証します)が、多くのユーザーは多くの機密データへのアクセスも要求しました許可。そのようなアプリが要求する権限は、多くの場合 、ロケーションアクセス、カメラアクセス、ユーザーの携帯電話へのアクセスなど、 一般的なウイルス対策アプリが必要とする機能の範囲を超えています。

Sophos Labsのレポートが公開されて以来、Googleはアプリストアの保護に取り組んできました。 2019年11月、同社はGoogle Playストアから悪意のあるアプリの存在を排除するために、ESET、Lookout、およびZimperiumの3つのウイルス対策会社とApp Defense Allianceを統合しました。ただし、App Defense Allianceがユーザーデータの保護にも関心を持っているかどうかは不明です。

ウイルス対策ソフトウェアが常に保護を提供するとは限りません

サードパーティのウイルス対策ソフトウェアの使用は、次の3つの要因により過去10年で減少しています。

  1. ユーザーは、ウイルス対策ソフトウェアの恩恵を受ける可能性のあるコンピューターにローカルに保存するのではなく、通常、暗号化された状態でクラウドにデータを保存しています。
  2. スマートフォンには比較的多くのデータがあり、コンピューターよりも安全性を取り巻く組み込みの制御と規制が厳しくなりがちです。
  3. 最新のオペレーティングシステムには、標準としてウイルス対策保護が含まれています(MacのGatekeeperやMicrosoftのDefenderなど)。

サードパーティのウイルス対策ソフトウェアの使用が減少しているため、これらの企業は厄介な状況に陥り、 ウイルス対策の合併や、他の分野への移行を進めて浮上しています。ウイルス対策ソフトウェアは通常、コンピューターに保存されているデータへの広範なアクセスを許可されているため(ソフトウェアがコンピューターのどこかに保存されているマルウェアを識別する場合に必要な手順)、これらの企業は多くの機密データへのアクセスを許可されます。ウイルス対策ソフトウェアは、データへのアクセスが多いため、 バックドアスパイのツールとして正常に使用されています。

今日宣伝されているほとんどすべてのウイルス対策企業は、データ保護法が弱い国に拠点を置いているか、シェル企業を使用してそうでないように見えます。ヨーロッパやアメリカではありませんか?データ保護法(英国)、GDPR(ヨーロッパ)、SafeHarbor(米国)はありません。これにより、これらの企業はユーザーデータから価値を獲得する追加の方法を簡単に見つけることができます。

これらの企業の所在地は、一般的なウイルス対策ソフトウェアとともにVPNを提供するための移行に役立ちます。 VPNは、ユーザーのすべてのデータをサードパーティ経由で集めます。これは、ユーザーのインターネットトラフィックを一部の当局を回避する可能性のあるパスにシフトするという点で賢明な場合がありますが、そのデータは民間の未知の企業の手に渡ります。多数の人気のあるVPNは中国に拠点を置くか、中国の所有権を持っています。これは、VPNが中国で公式に禁止されていることを考えると、このデータのセキュリティについて尋ねるべき良い質問があることを示している可能性があります。

VPNは広告やマーケティングに積極的であり、有料広告にYouTubeを使用する人が増えています。Googleは、VPNを宣伝するためにアフィリエイト料金を稼ぐサイトでdrれています。本物のレビューや社説を見つけるのはほとんど不可能です。これは変わらないようです。あなたが新規参入者であり、優れた製品を構築して倫理的に運用したい場合は、絶望的なオフショアAV企業との競争に参加することはありません!皮肉なことに、高信頼市場となるはずの企業の大部分が非常に疑わしい。

これらの考えを念頭に置いて、データを保護するために実行できるいくつかの原則と手順があります。それらについては、以下のセクションで概説します。

データを保護する方法

以下に、データを保護するために実装できる手順の簡単なリストを示します。 iPhoneユーザーの場合は、iPhone 、写真、およびiCloudアカウントの保護に関する詳細をご覧ください

  1. Androidを使用する必要がある場合は、Googleが定期的なソフトウェアとセキュリティの更新を確実に提供する唯一のベンダーであるため、Google製の電話(Pixelなど)を使用してください。 Google Playからアプリをダウンロードすることに伴うリスクに注意してください。これが制限的または面倒な場合は、iPhoneへの切り替えを検討してください。
  2. 注意してアプリをダウンロードするか、サービスにサインアップしてください。ダークパターン、および匿名企業、または強力なデータ保護法のある地域外の企業(ヨーロッパ、米国、カナダ)が運営するサービスに注意してください。
  3. Facebookなどの広告ベースのサービスに依存しないでください。最悪の場合、Facebookでログインしたりアプリをインストールしたりしないでください。または、Google Wi-Fiなどの製品リモートでデータを収集する。のような強力なファイアウォールリトルスニッチ(macOS)またはガーディアンファイアウォール(iOS、私たちにとって、データは資産ではなく負債です))侵襲的なデータ収集をブロックまたは強調できます。
  4. アプリやソフトウェアを見つけるときは、App Storeや信頼できるサードパーティのレビューソースで見つかったもの以外のレビューに頼らないでください。ウェブサイト上でレビューを偽造したり、小さな偽の独立したレビューサイトを作成したり、Google検索結果に星評価を表示する。 Trustpilotのようなさらに大きなレビューサイト操作可能、しかし、彼らはまだ最高のレビューのソースです。
  5. ウェブカメラとマイクに注意してください。それらを使用するアプリは必ずしも明確にするとは限りません。でもマーク・ザッカーバーグはブロックされ続ける彼がそれを使用していないとき。考えるウェブカメラシールドそしてマイクブロックこれにより、コンピューターがユーザーを記録できなくなる可能性があります。
  6. 使用する二要素認証(2FA)、ただしSMSでは使用しないでください。 「」と呼ばれるものを実行するのは比較的簡単ですSIMジャッキング」他の人のSMSメッセージにアクセスするための攻撃。 TwitterのCEOは攻撃に成功した2019年のこの方法。
  7. iCloudはエンドツーエンドで暗号化されておらず、5GBの無料ストレージ制限があるため、iCloudを使用するのではなく、iTunesまたはiPhone Backup Extractorを使用して、iPhoneまたはiPadを定期的にバックアップします(両方ともこの機能は無料です)。
  8. フルディスク暗号化(FDE)を使用します。最新のiOSおよびAndroidデバイスでは、これがデフォルトで有効になっていますが、PCまたはMacでは無効になっています。 Macでは、これはFileVault、そしてWindowsではそれは呼ばれますBitLocker。 FDEがなければ、アカウントを保護するために使用するパスワードをバイパスして、だれでも簡単にハードドライブをコンピューターから取り外してデータを見ることができます。
  9. ソフトウェアの更新を延期しないでください。お使いのコンピューター、電話、またはブラウザーが頻繁に更新して再起動したいように思えるとイライラすることがありますが、これらの更新には重要なセキュリティ更新が含まれていることがよくあります。
  10. パスワード管理アプリは、ユーザーが使用するアプリやサービス用の個別の安全なパスワードを設定および記憶するのに役立ちます。優れたパスワードマネージャーは、重複したパスワードまたは脆弱なパスワードを検出し、次のような漏洩したパスワードのデータベースと照合することもできます。持っている1パスワードそしてラストパスうまくできた。

この記事を改善できますか?

ユーザーからの連絡をお待ちしています。電子メールを送信したり、コメントを残したり、ツイートしたりしないでください。 @reincubate?

© 2008 - 2020 Reincubate Ltd. 無断複写・転載を禁じます。 イングランドとウェールズに登録 #5189175, VAT GB151788978. Reincubate®は登録商標です。 個人情報保護方針 & 条項. マルチファクタ認証をお勧めします。 ロンドンで愛と建てられた。