ローディーが恐れる最大のリスクは、自分が高い金を払って購入したロードバイクが盗まれることではないでしょうか。
ひと昔前は各社ハイエンドバイクは100万円程度でしたが、今や軽く150万にまで高騰しています。
為替影響もありますが、物価高騰の影響も受けており、こればかりはどうしようもないことですが。
そこそこ換金性もありますから、盗んで換金する側からしたら、狙い易いのでしょうね。
そんなお高いロードバイクを持っているローディーは、自宅を特定されることは避けたいわけですが、先日海外でちょっと怖い論文が公開されました。
気をつけないとです。
■ ハッカーは Strava のログから自宅を推定してしまうことができる
1. Strava のプライバシー機能
みんな大好き Strava。
自分のライドログを記録することができますし、アクティビティ内容を共有することで新たな仲間を見つけたり、公開されているアクティビティ内容を参考にして新しいコースを発見することができるなど、ローディーにとって貴重なコミュニティになっています。
ただ通常のSNSと異なる点として、アクティビティには位置情報(GPSデータ)が含まれています。
このご時世、女性の瞳に映り込んだ情報から自宅が特定されるとか、そりゃもう恐ろしい時代になっているわけで、GPSデータをまるっと公開した日には速攻で自宅が特定されてしまいます。
当然 Strava もその辺りは心得たもので、自宅を特定されないような機能を提供してくれています。
まず一つ目が、自宅周辺を非公開にする機能。
何も考えずに自宅を出てすぐにアクティビティを開始すると、アクティビティの開始地点=自宅が速攻で公開されてしまいます。
とはいえ、「今日は何キロ走った」とか、データ大好きな人ほど、アクティビティ開始した直後からデータは記録したいもので。
Strava はそういった点に配慮して、アクティビティ開始地点から最大1600m(1マイル)を非公開にする機能を用意しています。
また、似たような機能として、特定の住所近辺を非公開にする機能もあります。
特定の住所でアクティビティが開始・終了するものについては、非公開にするというものですね。
通勤・通学時のログは非公開にしたい、みたいなシーンで便利な機能となっています。
2. ハッカーは85%の可能性で自宅を特定可能
そんな Strava の便利なセキュリティ機能も、ハッカーの手にかかれば軽く突破されてしまう、という研究結果が出たそうです。
主要なサービスのEPZ(endpoint privacy zones)機能が、EPZが提供する有効な匿名性を大幅に低下させ、保護された場所さえも明らかにしてしまう推論攻撃に対して脆弱であることを示す。本攻撃は、アクティビティメタデータ、ストリートグリッドデータ、EPZへの入口位置から漏れる距離情報を利用します。これにより、制約のある探索空間が得られ、回帰分析により保護された場所を予測することができます。140万件のStravaアクティビティで評価した結果、我々の攻撃は最大85%のEPZで保護された場所を発見することができました。EPZの規模が大きいと、本攻撃の性能は低下し、一方、より疎なストリートグリッドで地理的に分散されたアクティビティは、より良い性能をもたらす
代表的なサービスとして Strava が挙げられていますが、こういったサービスは他にも数多くあります。
その為、どのサービスでどういったメタデータが取得可能なのかまで言及されているわけではありませんが、確かに「ここから先は非公開だよ」とラストワンマイルを秘匿化したとしても、メタデータから「自宅まであと1マイル」というデータを拾うことができた場合、その先が一本道で1マイル先にある個人宅が1件しかなければ、容易に自宅を特定することは可能ですよね。
それは極端な例ですが、広大な高原でもない限り、自転車で走行可能なルートは道路に限定されます。
そして、帰宅するルートがもし複数あった場合は更に危険性が増してきます。
もし東西南北の四方向から帰宅したアクティビティログがあった場合、4つのログが消えた地点から自宅までの距離を道路のグリッドデータに当てはめて回帰分析を繰り返してしまえば、かなり精度の高い自宅位置を特定できてしまうわけです。
つまり。
自宅付近の道路が限定されていたり、周辺に住宅が少ない地域に住んでいる方の場合は当然危険ですし、自宅周辺に道路が縦横無尽で走っている地域だったとしても、帰宅するルートが複数あるような場合が危ないわけです。
(どのように自宅を推測しているか気になる方は、原典当たってみて下さい。ちょっとぞっとします)
Strava の機能を過信し過ぎない方が良さそうです。
3. Strava の安全な使い方
論文では効果的な対策方法についても触れられていますが、共通する点は、「自宅までの距離をハッカーに正確に把握させない」ことに尽きます。
ログが消失した地点から自宅までの距離は何メートルなのかが分かってしまうことが一番の問題となりますので、本論文は Strava 等のコミュニティに対して、ログ消失地点から自宅までの距離が漏洩しないようにする、もしくは当該距離を「敢えて不正確にするような操作を加える(切り捨てるとか距離はランダムにシフトする)ようなことを推奨しています。
それでは Strava は動いたのか?というと、そんなこともないようで。
Stravaは、この研究に関連したリークやサイバー攻撃はなかったと述べたが、それに対して何らかの措置を取ったかどうかについてはコメントしなかった。
では自衛の為に我々は何をすべきなのか。
それはとっても簡単。
- アクティビティデータを非公開にする
- 友人(フォロワー)のみに限定公開する
- アクティビティログの記録は、自宅を出て数百メートル進んでから開始するようにする
私のような「ぼっちローディー」の場合は、問答無用で No.1 の対策を講じていますので、心配無用だったりします(なんか悲しいな・・・)。
実は No.2 で良いのに、知らないうちに全体に公開していたりすることがないかは、確認した方が良いですね。
ちなみに、セキュリティインシデントはどんな大企業にも起きうるリスクだと考えていますので、私の場合は「情報漏洩」も念頭に、常にNo.3の対策も講じるようにしてします。
論文中でも触れられていますが、回帰分析の精度を落とす為には「ランダム性」があると良いですから、毎回自宅から離れた同じ地点でライドをスタート・終了させるのではなく、毎回数百メートルずらした場所でライドのスタート、終了をさせると一層効果的だったりします。
「最後の数百メートル、走ったはずの距離が記録されない!」という点は悲しい限りではありますが、愛車が盗難されるリスクを考えれば、ほぼ全てのローディーにとって許容範囲なのではないでしょうか?
コメント
Stravaの場合、円の中心から一定距離を非表示にする機能を利用して、自宅とズラした位置数ヶ所を非表示にすると、方角によって非表示距離が変わるので推論しづらくなります。
位置特定でよくあるのはむしろブログにアップする写真ですね。iphoneの写真だと座標を消しても正確な撮影時間が入っていることで、撮影物と合わせてAI解析できてしまうことがあります。
キリが良い約1km自宅から出てからスタート(⌒‐⌒)が
良いようですね。 サムネイルの泥棒(笑)みたいな感じだと
瞬時に泥棒だと特定出来るので……泥棒にはあの、古典的スタイルを義務付け(笑)にして欲しいです。
自分はロードバイクだと、クイックレバーをスキュワーの捩じ込み式に交換したり、ワイヤーロックをSPDペダルの隙間に通してからダウンチューブに絡め、フェンスにROCKなどやって居ます。
リカンベントだとシートバッグはシートに被せるモノなので抜きとり、付属のベルトを付けて肩に掛けます。
リカンベントは、普通の人には発車さえ困難なので、特に鍵は付けず、純正ハンドルROCKだけで 手早く用事を済ませる様にしています。
まだ、盗まれた事はありませんが、ロードバイクはサイズが61なので……乗り逃げは難しいと思います。o(^o^)o(笑)
でも、担いで行かれたら南無三なので、エアタグはそろそろ導入しようと考えて居ます。
>たかにぃさん
数カ所ランダムに非表示というのは、推定精度下げるのに良さそうですね!
>♪さん
確かにリカンベントは乗り逃げのハードル高そうです。。。
私もappleのAirTag使ってますが、ランチ中に目視できない時には安心材料になりますね。