Bluetooth トラッカー「Tile」に、ユーザーをストーキングの危険に晒す可能性のある深刻なセキュリティ上の脆弱性が存在することが、ジョージア工科大学の研究者によって明らかにされました。
この問題は、トラッカーが情報をやり取りする方法に関連しており、第三者による追跡を可能にするおそれがあります。
発見された脆弱性の詳細
研究チームが指摘した脆弱性は、主に 2 つの点に集約されます。
暗号化されていない識別情報の発信
研究報告によると、個々の Tile トラッカーは、暗号化されていない MAC アドレスと一意の ID を常に発信しています。これにより、付近にある他の Bluetooth デバイスや特殊なアンテナでその信号を拾い、トラッカーと所有者の動きを追跡することが可能になります。
さらに深刻なのは、たとえ Tile が将来的に MAC アドレスの送信を停止したとしても、ローテーション ID の生成方法に問題があるため、過去の ID から将来の ID を予測できてしまう点です。
研究者の一人は、「攻撃者はデバイスから1つのメッセージを記録するだけで、そのデバイスを生涯にわたって特定できる」と述べています。
サーバーへのデータ送信に関する懸念
研究チームは、暗号化されていない MAC アドレスと一意の ID が Tile のサーバーにも送信されていることを発見しました。
データは平文(暗号化されていない状態)で保存されている可能性があり、これは Tile 社が「ユーザーを追跡する能力はない」とする公式な主張とは裏腹に、同社がタグと所有者の位置情報を追跡できることを意味します。
現在、多くのトラッカー企業は、身に覚えのないトラッカーが一緒に移動している場合にユーザーに警告する機能を導入していますが、今回の脆弱性が悪用されると、これらの安全対策を回避される可能性があります。
Tile の親会社 Life360 の対応
研究者たちは、2023年 11月に Tile の親会社である Life360 に対してこの脆弱性を報告しましたが、2024 年 2 月以降、同社との連絡が途絶えたと主張しています。
一方、Life360 社は Wired からの取材に対し、メールで「研究者の報告を受けてから、多数の改善を行った」と回答しています。しかし、具体的にどのような改善が行われたのか、脆弱性が完全に解消されたのかについての詳細は明らかにされていません。
まとめ
今回指摘された Tile トラッカーの脆弱性は、ユーザーのプライバシーと安全を脅かす深刻なものです。暗号化されていない識別情報が発信され続けることで、技術的な知識を持つ第三者によるストーキングが可能になるリスクが浮き彫りになりました。
Apple の AirTag がストーキング対策として警告機能の強化などを進めてきたように、Bluetooth トラッカーの利便性の裏には、常にプライバシー侵害のリスクが潜んでいます。
Tile および親会社の Life360 には、今回の指摘に対して迅速かつ透明性の高い情報開示と、ユーザーが安心して製品を利用できるための具体的な対策が強く求められます。
