あいさつ
DP部 マきむら です。
みなさん、マッチングアプリ使ってますか?
今回はマッチングアプリを使用する上でのリスクとその防御について考えてみました。
導入
世間には数多くのマッチングアプリが存在しています。
その中のいくつかのマッチングアプリが提供する機能として
『自分からの距離の範囲内で条件にあてはまる人間を検索する』
範囲内検索機能があります。
『特定』の距離にいる『特定』の条件に当てはまる人物を絞り込むための機能ですが、
この機能に対して考えられる攻撃について考察し、その攻撃に対する防御策について考えてみました。
本題
アプリ内の対象の人物の位置を計測することはできるのでしょうか。
範囲内検索機能を通して、対象人物の位置を予測した後、自分の位置をずらし、再度検索を行うことで対象の想定範囲を絞っていきます。
様々なマッチングアプリが範囲内検索機能を提供しています。以下の範囲内検索機能のある3アプリの検証では、対象人物の位置を良い精度で計測することができました。
アプリA(ユーザ数国内最多)
アプリB(海外ユーザ多数)
アプリC(上場企業による運営)
気付き
検証では、範囲内検索による結果と、実際の距離に誤差がありました。しかし、やる気満々の攻撃人間🥊なら、無数の端末を用意してメッシュ状に配置することで解決できるため、
アプリ上の対象人物までの距離と実際の距離に誤差があっても、居場所が隠蔽される効果は薄まります。
つまり、実際の距離との誤差に関わらず、範囲内検索で居場所はわかります。
脅威
はい。
では、以上のことから対象人物が何時、どこに存在しているのかがわかりますね。
対象人物のおおよその勤務位置や、自宅、行動パターンなどがわかることで、泥棒、強盗、強襲、詐欺などがしやすくなるかもしれません。非常に危険です。
また、マッチングアプリの機能として、プロフィール欄に一人暮らしや年収、職業などの情報を入力することもあるようです。
ユーザにとっての対策方法
ではユーザにとって防御策はなにが考えられるでしょうか
1. マッチングアプリに位置情報の権限を付与しない設定を行う
2. 特定されるような情報の掲示を避ける
3. 範囲内検索のあるマッチングアプリを利用しない
4. 善良なユーザしかいないことをお祈りする
5. 👇以下の設計になってるアプリを使用する👇
アプリ提供者にとっての対策方法
マッチングアプリ提供側にとっての防御策はなにが考えられるでしょうか
アプリ側にて、特定の距離を検索する機能で個々のユーザに大きめのブレを生じさせる処理を付けることや、GPS情報の更新・取得を1日1回に制限することも考えてみましたが、
攻撃者が無数の端末を持ってメッシュ状に配置し計測できれば、コストはかかりますが攻撃でき、根本的には解決できません。そこで
1. 本人確認書類に基づいた本人確認による認証を通過してからGPS情報を登録・取得ができる権限を付与する設計
2. その上で、GPS情報の更新・取得回数を制限
を行うことでセキュアになると考えられます。
距離による検索機能はユーザにとって大変リスクの高い機能提供となります。しかし、そのようなアプリを利用しているユーザにとっては、リターンを得る上で百も承知のリスクで、関心がないのかもしれないです。
有効な対策の実装について良いアイデアがあれば是非コメントをお願いします。完全な私見ですがSMS認証は信用してないです。
いかがでしたか
いかがだったでしょうか、アプリ利用者のみなさまにとっては、もちろん、本記事のような問題を十分理解した上で、覚悟の上で使用されていて、問題のない方が多数だと思います。
アプリ提供側による対策が行われて、攻撃者にとって攻撃が困難になればいいですね。
実際の事件
先日、位置共有アプリを悪用した事件があったそうです。
とある位置共有アプリでは、共有先からの位置情報の要求をこちらが許可しない場合、位置情報は相手に共有されずわからないため、共有先は限定されます。
しかし、マッチングアプリはどうでしょうか?
みなさま、良いマッチングライフを。
以上です。
