ポケモンGOで他プレイヤーの自宅や職場を予測できるか？ サイバーストーキング攻撃の可能性を検証：Innovative Tech

[山下裕毅，ITmedia]

Innovative Tech：

このコーナーでは、テクノロジーの最新研究を紹介するWebメディア「Seamless」を主宰する山下裕毅氏が執筆。新規性の高い科学論文を山下氏がピックアップし、解説する。Twitter: ＠shiropen2

　英UCLに所属する研究者らが発表した論文「Gotta Assess `Em All: A Risk Analysis of Criminal Offenses Facilitated through PokemonGO」は、スマートフォンゲーム「Pokemon GO」（以下、ポケモンGO）でプレイヤーの自宅や職場を予測するサイバーストーキング攻撃が実際にできるのかを検証した研究報告である。

ポケモンGOのゲーム中のスクリーンショット

　この研究では、ポケモンGOによって漏れた位置情報により、被害者の自宅や職場、遊び場などの日常的な場所を特定できるかどうかを検証するための実験を実施する。

　攻撃方法は、まず攻撃者が提供されたトレーナーコードを使用して、ポケモンGOの友達リスト機能を通じて各参加者を追加する。ここでいう参加者とは、RedditやDiscordなどで募集した、ロンドン在住の18歳以上5人を指し、ターゲット被害者と想定する。次に、各参加者に対して毎日「ギフト交換」（※他プレイヤーとゲーム内アイテムを交換する機能）を求める。

　ギフト交換の段階で、攻撃者は受け取ったギフトに含まれるポストカードから名前と位置情報を記録する。ギフトを交換したポケストップの場所を推測するために、ポケストップの名前をサードパーティー（Pogomap.infoやGoogle Mapなど）に入力して場所を把握する。

　攻撃者は、各参加者の職場や自宅、遊び場に最も近い3つのポケストップを推測し、これらに対する総合的な信頼度の評価を行う。攻撃者は、3日目と7日目、10日目、14日目において参加者の位置を推測する。

サードパーティーによるポケストップの位置情報

　実験では、5人中4人がギフト交換を行ったため、分析対象は4人となった。対象4人の具体的なギフト交換頻度は、参加者1と4は毎日交換し、参加者3は2週間を通して交換しなかったのは2日だけであった。参加者2は、2回しか交換しなかった。

　実験の結果、ポケモンGOのギフト交換機能を利用したサイバーストーキングの実現可能性を示した。参加者4人のうち2人の自宅と職場の場所から1.2km以内にあるポケストップを推測できた。他2人については、極端にプレゼントが少なかったことなどにより、正確に場所を予測できなかった。遊び場の推測は全員できなかった。

A：各参加者から受け取ったプレゼントの総数、B：自宅の場所に関する推測の正確さ、C：勤務地に関する推測の正確さ、D: 各推測の信頼度

　この結果から、ポケモンGOでのギフト交換により、ストーカーとなりうる人物が、被害者ユーザーの自宅や職場から約1km圏内にあるポケストップを特定できる可能性を示した。またギフト交換の回数が多くなるにつれ、精度が増すことも予想される。

Source and Image Credits: Ashly Fuller, Martin Lo, Angelica Holmes, Lu Lemanski, Marie Vasek, and Enrico Mariconti. Gotta Assess ‘Em All: A Risk Analysis of Criminal Offenses Facilitated through PokemonGO.