2026/04/14 6:51
タイトル:Webloc による Penlink の広告ベース地理的位置情報監視技術に関する分析 ※ご提供いただいた入力文は、見出しまたはタイトル行としての短いテキストのみであり、本文中の具体的な文章が含まれていませんでした。そのため、上記のように元の形式を最適化された見出し形式に整理しました。もし本文がある場合は、その内容をご共有ください。
RSS: https://news.ycombinator.com/rss
要約▶
Japanese Translation:
最も重要な示唆は、コウブイズテクノロジーズが開発し、その後継者ペンリンク(2023年に合併)が現在販売しているグローバルな地理的位置特定監視システムであるウェブロック(Webloc)が、消費者アプリおよび広告から購入したデータを使用して、秘密裡に最大 5 億台のモバイルデバイスを追跡しているという点にあります。同システムは、正確な GPS、Wi-Fi および IP アドレスから推定された位置情報に加え、デバイス識別子、タイムスタンプ、人口統計学的セグメント、アプリリスト、そして最長で 3 年分の履歴データを収集します。メタ社が 2021 年に、世界中の活動家に対する社会的エンジニアリング(標的はバングラデシュ、香港、米国、メキシコ、サウジアラビア、ポーランド、ニュージーランドを含む)を観察した後にコウブイズを禁止したにもかかわらず、インフラストラクチャは今も稼働しており、ペンリンクは製品が「存在しない」と主張しています。しかし、サーバーはまだ公開されており稼働しています。
このシステムは、多様な管轄区域の政府や機関によって使用されています。少なくとも 2022 年より、ハンガリーの国内情報機関(AH、NIC、NBSZ)がウェブロックを使用しており、仲介業者 SCI-Network を通じて 2026 年 3 月に新しいライセンスを購入し、 reportedly 費用が最大 100% 増加したとされています。エルサルバドルでは、国家警察が 2020 年 12 月にメキシコの転売業者アイテックスソリューションズ(EyeTech Solutions)からタンゲルズ、リンクス、そしてウェブロックを購入し、68 万ドルを支払いました。これに対して、2021 年 1 月から 2022 年 1 月までの使用が文書化されています。米国の顧客には、法務執行移民帰国局(ICE)(2025 年 9 月–2026 年 9 月の契約でタンゲルズとウェブロック向けに最大 230 万ドル)、軍部(海軍情報機関、陸軍宇宙およびミサイル防衛司令部)、テキサス州治安保護局(2021–2029)、ウェストバージニア州災害対策庁、ニューヨーク市地区検事、ロサンゼルス、ダラス、ボルチモア、ツーソン、デュラム、エルクグローブ、ピナル郡など他の警察部門が含まれます。米国内務省インディアン・アフェアーズ局警察は 2023 年から 2025 年の間にタンゲルズとウェブロックを取得しました。ICE は 2023 年後半に購入した位置情報を使用停止しましたが、2025–2026 年の顧客としてリストされています。
技術分析の結果、アメリカ、オランダ、シンガポール、ドイツ、イスラエルを含む 25 ヶ国で稼働しているサーバーインフラストラクチャが特定されました。2026 年時点では、ハンガリー、メキシコ、オランダ、シンガポール、アイルランドの 5 つのウェブロック関連サブドメインが発見されています。ヨーロッパとイギリスは、96 の情報開示請求(FOI)に基づく 14 ヶ国にわたり、広告ベースの監視利用について極めて非透明であると判明しており、ユーロポリスは関連文書を持っていることを確認しましたが、公開を拒否しました。
批判家たちは、この pervasive な不透明な監視は、広告データを堅固な捜査令状の安価な代替品として扱い、プライバシー権を侵害すると主張しています。専用フィッシング製品であるトラップドア(Trapdoor)——コウブイズによる「社会的エンジニアリングプラットフォーム」として説明されているもの——が特定され、ケニア、インドネシア、日本、UAE、シンガポール、香港にサーバーを有し、フィッシングリンクや偽のページを生成し、カメラ、マイク、キーストロークを抽出したりマルウェアを展開したりできます。メタ社は以前、複数の国で活動家および政府高官を狙う社会的エンジニアリングによりコウブイズを警告していました。ベンダーは製品が廃止されたことを主張していますが、ライセンスを購入が続行されており(ハンガリーでは 2026 年)、サーバーは今も稼働しています。
ミッション・クリープ(任務の逸脱)が明らかです:国境安全管理や性的搾取捜査のために購入されたツールが、現地勢力(例:ツーソン警察局)によって日常的小罪(たばこ盗難など)やデモ監視などに転用されています。絶え間ない追跡能力、専用フィッシング機能、不透明なベンダー関係(創業者のオムリ・ティミアンカーはクアディラムと I-OTT に間接的な関与を持ち、投資家のウーリ・アシュケナジはコウブイズとクアディラムに関連付けられている)、そして広範な政府利用が組み合わさることで、世界中のデジタル自由に対する脅威が高まっています。
本文
主要調査結果
Webloc は、消費者向けアプリおよびデジタル広告から購入されたデータを基に数億人規模の個人を追跡する、グローバルな地理情報監視システムです。これは Cobwebs Technologies が開発し、現在は同社を引き継ぐ Penlink から販売されています。
EU の investigative journalism(調査報道)プラットフォームである VSquare とのコラボレーションにより、ハンガリーの国内諜報機関が少なくとも 2022 年から Webloc を利用しており、現在もこれを運用し続けていることが明らかとなりました。また、El Salvador(エルサルバドル)の警察当局も同様の顧客に入ります。
米国における利用者には、国土安全保障省の入国・通商執行局(ICE)、米軍、テキサス州公共安全局、ウエストバージニア州 DHS、ニューヨーク市地方検察官事務所に加え、ロサンゼルス、ダラス、バルチモア、ツーソン、ダラムなどの大都市およびエルクロブ市、ピナル郡など各地の警察局が含まれます。
96 の自由開示請求(Freedom of Information)への回答に基づき、欧州およびイギリスの政府が、広告に基づく監視の可能性について極めて不透明であることが結論づけられています。
Cobwebs Technologies は、創業者であり現在 Penlink の国際事業を統括する Omri Timianker を通じて、スパイウェアベンダーの Quadream とリンクしています。
Webloc は、広範に使用されている SNS およびウェブインテリジェンスシステム「Tangles」への付加型製品(アドオン)として販売されています。技術分析および他の情報源に基づき、Cobwebs Technologies が開発した Tangles やその他の製品が世界中の多数の国で利用されていることが示されました。
また、被害者に情報を伏せてさせることを助ける Cobwebs Technologies の別の製品「Trapdoor」についても簡潔に調査しました。当分析の結果、Trapdoor はマルウェアをデバイスに導入するのを容易にする可能性があると判断しています。
序論
モバイルアプリおよびデジタル広告に基づく日常的な消費者データを用いた対象者別・大規模監視は、「広告インテリジェンス(ADINT)」と呼ばれてきました。当報告ではこれを「広告ベースの監視技術」と呼称します。これらの技術は、個人情報監視経済の拡大とともに普及し、適切に規制されておらず、不透明な運営を行う企業によって販売されているため、深刻なセキュリティ・プライバシー・市民権の問題を引き起こしています。特に、適切な監督が欠如した独裁政府により使用される場合にはなおさらです。
本報告では、広告ベースの地理情報監視システム「Webloc」に関する我々が把握している事実を調査・要約・記録します。Cobwebs Technologies で開発された Webloc は、2023 年に同社と Penlink が合併したため、現在は後継企業である Penlink から販売されています。
米国移民・国境執行局(ICE)が数億人規模の個人データを監視目的で入手できるよう契約を結んだことを受け、Webloc は直ちに大きな公的議論を引き起こしました。2026 年 3 月には、米議会の上院議員 72 名と下院議員が、ICE および他の米国機関による「米国人の位置情報の許可なくされた購入」について調査を呼びかけました。
契約関連文書およびその他の情報源に基づき、世界中で広く利用されている SNS およびウェブインテリジェンスシステム「Tangles」への付加型製品として販売される Webloc が提供する機能を詳細に分析しました。入手した文書によると、Webloc は地球規模で最大 5 億台のモバイルデバイスから得られた端末識別子、位置情報座標、およびモバイルアプリやデジタル広告から収集されたプロファイルデータを含む、常時更新されるレコードストリームへのアクセスを提供します。顧客は、過去最長 3 カ分の期間にわたり、人口全体の変動経路や個人属性をモニタリングすることが可能です(第 3 節の議論と同様)、Webloc の機能分析は、2021 年〜2025 年の間に収集された多数の文書に基づいています。
当調査により、軍事・諜報・法執行機関、さらには各国の地方警察組織に至るまで、国外捜査令状(warrant)を得ずかつ適切な監督もない状態での侵害的な広告ベース監視が使用されていることが示されました。
Webloc の顧客:ハンガリー、エルサルバドル、米国
EU 調査プラットフォーム VSquare を通じて平行して報告を公開するハンガリーのジャーナリスト Szabolcs Panyi と連携し、ハンガリーの国内諜報機関が少なくとも 2022 年より Webloc を利用しており現在も運用中であることを明らかにしました。これは、欧州における広告ベース監視技術の使用に関する最初の確認となります。
メディア報道、公的記録およびその他の情報源の体系的分析に基づき、エルサルバドル国家民事警察が 2021 年に Webloc を購入したことも示されています。同様の情報源はまた、米国国内での Webloc の顧客として、米軍、ICE、ウエストバージニア州 DHS、テキサス州公共安全局、ニューヨーク市地方検察官事務所に加え、ロサンゼルス、ダラス、バルチモア、ダラム、ツーソン、ピナル郡、エルクロブ市など大規模・小規模を問わない多数の警察当局が含まれていることを示しています。
潜在的顧客
欧州およびイギリスにおいて、法執行機関・地方警察局 14 ヶ国ならびに EU 執行機関 6 機関へ、合計 96 の自由開示請求(FOI)を行いました。その多くは拒否されまたは回答が得られませんでした。Europol は Webloc に関する情報保有を認めたものの、開示を拒否しました。イギリス内務省およびスウェーデン警察当局は、Webloc 関連の情報を確認も否定もしない姿勢をとりつつ、「同様のベンダーからアクセスできない」と主張しました。オーストリア、オランダ、ルーマニアの各政府省庁からは Webloc の使用状況に関する回答はありませんでした。イギリスの警察当局のうち 5 か所は Webloc 関連情報の保有を認めましたが、残り 39 は確認も否定もしませんでした。
さらに他の国における潜在的な Webloc 顧客について調査しました。イタリア・ベネチア地方警察は 2022 年に Webloc の研修イベントを開催しており、イスラエル国防軍勤務中のイスラエル軍事要人も同様の研修を受けました。オランダの転売業者が欧州向けに Webloc を販売しているようです。本報告で検討した技術分析およびその他の情報源に基づき、オランダ、メキシコ、ベトナム、シンガポールにおける潜在的な Webloc 購入についてさらに調査を行う価値があると考えられます。Webloc の使用を説明する文書に記載されている地図では、ドイツ、オーストリア、イタリア、ハンガリー、ルーマニア、アラブ首長国連邦、イスラエル、シンガポール、ロシアなどで人の位置追跡に使用されたことが示されています。
サーバーインフラストラクチャ
技術分析に基づき、Cobwebs Technologies が開発した Tangles や Webloc およびその他の製品の展開に帰属するサーバーインフラストラクチャをマッピングしました。分析によると、Cobwebs Technologies に関連するサーバーは米国、イギリス、イスラエル、オランダ、ドイツ、スウェーデン、ノルウェー、イタリア、フランス、アイルランド、ハンガリー、ポーランド、キプロス、メキシコ、コロンビア、ブラジル、オーストラリア、日本、シンガポール、香港、インド、インドネシア、アラブ首長国連邦、イラク、ケニアなど多数の国に配置されていることが示されています。ただし、これらのサーバー所在地が実際の顧客所在国を反映しているかについては不明です。
企業分析
企業記録および公的情報の分析により、Cobwebs Technologies はスパイウェアベンダーである Quadream と関連付けられています。創業者かつ旧 CEO であり、現在 Penlink の国際事業統括を務める Omri Timianker は、Quadream に間接的な所有権を持っています(図 14 を参照)。また、元キーエグゼクティブおよび投資家が Quadream の主要投資家であることも確認されています。Citizen Lab が以前明らかにしたように、Quadream のスパイウェアは市民社会、ジャーナリスト、政治的 opposiiton(対立勢力)を標的にするために使用されてきました。Quadream は 2023 年に資産売却を試みていたようですが、それが成否したか不明であり、イスラエル法人が現在も稼働しているかは不詳です。
Cobwebs の製品群
Cobwebs Technologies で開発された他の製品についても簡潔に調査しました。Lynx は、ウェブ上の密偵作戦を支援し、SNS 上での偽アカウント管理を可能にするシステムで、公的記録およびメディア報道から米国およびエルサルバドルでの使用が示唆されています。他方、「能動的なウェブインテリジェンスソリューション」として宣伝されていた Trapdoor という製品は、どこでもほとんど報告されていません。「技術仕様書」によると Trapdoor は「社会工学プラットフォーム」と定義されており、偽ウェブサイトを作成し被害者にフィッシングリンクを送って情報を誘き出すためのシステムであった可能性が示唆されています。さらに分析の結果、Trapdoor が被害者のデバイスにマルウェアを展開を容易にする機能を有する可能性が高いと判断しました。技術分析により、Kenya、Indonesia、Singapore、Hong Kong、UAE、Japan に Trapdoor サーバーが存在する可能性があります。Lynx と Trapdoor が現在 Penlink から販売されているかどうかは不明です。Citizen Lab への回答において、Penlink は「我々の報告が記載するのは『もはや存在しない製品』である」と曖昧ながら主張しました。
米国国土安全保障省(DHS)は、内部報告書(第 2 節参照)に示すように、Tangles を活用して抗議者に対するファイルを作成していました。Meta は 2021 年の「監視業務受託産業に関する脅威報告書」において Cobwebs Technologies の名前を顕著に取り上げ、同社をプラットフォームから排除する措置をとりました。Meta の観察結果によれば、Cobwebs の顧客が運営するアカウントは、社会工学的手法を用いて閉鎖コミュニティやフォーラムへの参加を試み、個人情報漏洩を引き起こす活動を行っており、「特に活動家、反対派政治家、政府高官に対する頻繁な標的化」が見られたと指摘されています。一方、Cobwebs Technologies は同報告書が偽であるとして反発しました(「アバターを提供していない」と主張)。
研究方法論
本報告には複合的な研究デザインを採用しました。インターネット上の現在および過去の報道、マーケティング資料、契約書、公開調達記録を対象とした包括的なデスクトップレビューを実施しました。企業マッピング調査のため、公式企業登記所から財務開示文書を入手しました。欧州における Webloc アクセス状況を確認するため、96 の自由開示請求(FOI)を送付し、14 ヶ国および EU 執行機関 6 に及ぼしました。主に移民・法執行関連当局に送付し、情報提供拒否への appeals(上申)も行いました。
ハンガリージャーナリスト Szabolcs Panyi と連携し、Webloc のハンガリー政府への販売を確認しました。Panyi は共有された一次文書およびハンガリー諜報業界関係者の匿名ソースに頼って結論を導き、当研究でも部分的な文書選定について独立検証を行いました。
また、ブラウザテスト、公的ウェブリソース、一般的な DNS・IP・URL テレメトリートールを使用した技術調査も行い、Cobwebs Technologies および同社製品と関連するサーバーインフラストラクチャをマッピングしました。
※ 脚注 1: Cobwebs Technologies の創業者兼元会長は、企業所有構造およびパートナーシップの連鎖を通じて間接的に Quadream に持分を持っています(図 14 参照)。↩︎
1. 背景
2020 年 2 月、Byron Tau というジャーナリストがワシントン・ポスト紙(※原文 Wall Street Journal と誤記の可能性あり)で発表した調査により、米国政府機関が商業的なスマートホンデータを buying し、何千万人規模の人の動きを監視目的で使用することが初めて確認されました。その記事は、ICE がゲームや天気アプリといった一般消費者向けアプリから取得した位置情報を、デジタルマーケティング会社を介して購入していたことを明らかにしました。
以降、ジャーナリスト・研究者・政策立案者の調査により、米国では多数の政府機関がモバイルアプリおよびデジタル広告企業から集約された数百万人規模の人の行動・個人属性・位置情報データを買い取っていたことが判明しました。これはドローン攻撃を実施する米軍部隊、国内監視(許可なく)を行う諜報機関、連邦・州・地方法執行機関などにも及びます。
モバイルアプリおよびデジタル広告データに基づく対象者別・大規模監視は、「広告インテリジェンス(ADINT)」と呼ばれる言葉で表され、これは当初監視業界自体が考案した用語であると言われています。当報告ではこれを「広告ベースの監視技術」と呼称します。近年、米国における広告ベース監視ベンダーとその顧客について多くの情報が明らかになっていますが、欧米以外での利用実態についてはまだほとんど知られていません。
モバイルアプリおよびデジタル広告データ
広告ベース監視ベンダーおよびその顧客は、通常、SDK ベースまたは RTB(リアルタイム入札)ベースのソースからモバイルアプリ・デジタル広告データを入手します(米国政府記録で確認済み)。
RTB ベースのデータソース
RTB 系ソースは、デジタル広告におけるリアルタイム入札システムからのデータストリームにアクセスします。人がアプリやウェブサイトを閲覧し広告が表示されるたびに、そのユーザーにはどの広告を表示するかを決定するオークションが行われます。このオークション(1 秒未満で完了)において、数百件の参加企業へユーザーデータ(後述の詳細を含む)が共有されます。セキュリティ対策なしでデータがブロードキャストされるため、監視ベンダーはデータブローカーから購入するか、あるいは自ら広告オークションに参加することでデータを入手します。平均的な欧州市民のデータは、1 日に無数の回(数百回以上)に多数の第三者へブロードキャストされます。
SDK ベースのデータソース
SDK 系ソースは、モバイルアプリに埋め込まれたサードパーティ系追跡ソフトウェアを通じてデータを取得します。Android や iOS にインストールされる多くのアプリ(ゲームやデートアプリなど)には、1 つまたは複数のサードパーティによる追跡ソフトウェアが含まれています。アプリベンダーはこのサードパーティ製を埋め込むのは、機能追加・ユーザー分析・広告収益化・あるいは単にユーザーデータを販売するためです。このサードパーティ製は通常「ソフトウェア開発キット(SDK)」という形式でアプリ内に統合されます。監視ベンダーは、直接的または間接的にこれらの SDK を運営するデータブローカーからデータを購入することでアクセスします。
生データ
両ソースから収集される生データには、端末識別子・タイムスタンプ・行動や属性を示す追加情報(現在地・利用アプリ・端末情報・OS・言語など)が含まれます。RTB 系ソースは加えて年齢・性別・興味・習慣・購入履歴といった広告ターゲティングに有用な属性を提供可能であり、SDK 系ソースは埋め込まれたアプリがアクセスできる全データを取得可能です。これにはアプリ内行動・近隣 Wi-Fi アクセスポイント・Bluetooth デバイス情報・ジャイロスコープデータ(端末の持ち方・動き)なども含まれます。
デバイス識別子
端末識別子はデジタルマーケティングおよび広告ベース監視において、個人を追跡・プロファイル化する上で不可欠です。両ソースから収集されるデータは「モバイル広告 ID(MAID)」と呼ばれる識別子を含まず、電話またはその利用者個人を特定します。広告業界はこれを「匿名性」があると長年主張していますが、実際には多数の企業が消費者の MAID と名前・住所・電話番号などの情報をリンクさせ続けているため、FTC は近年これに「市場内における匿名性を提供しない」と明確化しました。RTB 系・SDK 系の両監視手法は広告 ID やデジタルマーケティング識別子を共有するため、当報告ではこれをまとめて「広告ベースの監視」と定義します。さらにユーザーの IP アドレスも同定目的で利用される場合があります。
大規模監視の実態
RTB データを保有し米国連邦政府顧客(防衛大手企業経由)に販売したブローカーは、10 億台以上のモバイルデバイスのデータを有すると主張しました。また数千のアプリから RTB データを収集する企業もありました。SDK 系データを扱うブローカーは比較的少数の個人を対象とします。ある社は米国軍(他社経由)に販売し、400 のアプリに埋め込んだ SDK を通じて 4,000 万台のスマホからデータを収集していたと主張しました。最近の文書で ICE が Webloc を購入したことが記載されたものには、「数億人のモバイルデバイスから得られる数十億回以上の daily location signals」という記述があります。
位置情報追跡とデータアクセス制限
端末から取得可能なデータの種類は、インストールされたアプリ・アプリがアクセスできるデータ・ユーザーが付与した権限によって異なります。これは特に位置情報追跡(広告ベース監視の主要ユースケース)に適用されます。Apple の「App Tracking Transparency」イニシアチブおよび Google の Android 権限改善により、位置情報へのアクセスは制限されています。この制限を回避するため、天気・ナビゲーション・フィットネス・デートアプリといった位置情報を必須とするアプリからの収集が中心となります。正確な GPS 位置が得られない場合、IP アドレスから市レベルの概算位置が推測されます。SDK データには Wi-Fi アクセスポイントデータに基づく推定位置情報も含まれます。また、デジタルマーケティング目的で取引されるデータの多くは不正確であるという事実も大きな課題です。特に地理的位置情報は業界自身でもその信頼性が確認されています。しかしながら、標的監視においては、データ全体の 90% が誤謬であっても、標的端末の識別子がセットに含まれていれば問題ありません。
権利・法整備への影響
アプリおよびデジタル広告から収集される位置情報や類似データは極めてセンシティブです。自宅・職場・家族・友人・宗教・政治信条・性的指向・健康状態などを推測可能であり、数億人規模の個人データの無許可監視目的での体系的悪用は、市民権・基本的人権に対する深刻な懸念を提起します。米国および欧州において、政府が広告ベースデータを監視目的で使用することの合法性ならびに、アプリ・広告企業→データブローカー→監視ベンダーというサプライチェーン全体でデータ共有を行うことの合法性について、第 10 節でも議論されるように大きな争点となっています。
2. Cobwebs, Penlink およびその製品群
広告ベース監視システム Webloc は、イスラエル企業 Cobwebs Technologies によって初度開発され、国家安全保障機関・法執行機関・商業顧客に監視技術ソリューションを販売してきました。2015 年にイスラエル特殊部隊および諜報機関元メンバーにより設立された Cobwebs Technologies は、2023 年に米国投資法人 Spire Capital に買収され、米国基盤の監視技術ベンダーでもあり同社所有の Penlink と合併しました。以降、Cobwebs の創業者 3 人が Penlink のキーエグゼクティブ役を担い、テック・製品・マーケティング・戦略・国際営業などを牽引しています。
企業記録によると、Cobwebs Technologies はイスラエル、米国、イギリス、ドイツ、シンガポール、ニュージーランドで法人实体を運営していました(2021 年版ウェブサイトではメキシコ・インドネシア・インドも記載)。2023 年 Penlink 合併後は、イスラエル・イギリス・ドイツ法人が"Cobwebs"を「Penlink」または「Pen-link」と含めるように名前を変えています。現在、Cobwebs で開発された多数の製品を Penlink が販売しています。
Cobwebs の製品ポートフォリオは、「ウェブおよび SNS 調査プラットフォーム Tangles」を中心に、モバイル位置情報監視・財務インテリジェンス・サイバーセキュリティ・秘密性の高い SNS 作戦などの追加製品を伴っています。
コア製品:Tangles
Cobwebs で開発された Tangles は、SNS およびオープン・ディープ・ダークウェブのデータへのアクセスを提供するソフトウェアプラットフォームです。「ウェブ調査プラットフォーム」「ウェブインテリジェンスプラットフォーム」「WEBINT システム」と呼ばれています。リークされた訓練マニュアルによると、政府および商業顧客はキーワード・個人識別子(名前・メールアドレス・電話番号・ユーザーネーム)を検索し、オンラインアカウントを特定後、投稿内容・相互作用・関係性・活動・イベント参加・興味などを分析できます。個人モニタリング・プロファイリング、「ターゲットカード」作成・アラート受領・投稿および写真から抽出された位置情報分析・ネットワーク分析(共通友達や職場に基づくグループ識別)なども可能です。米国調達記録のサービス定義によると、データソースには掲示板・ブログ・テキストストレージサイト(ペーストビン)に加え、Facebook/Instagram/Twitter/X/YouTube/LinkedIn/SnapChat/TikTok/Reddit/VK/Weibo/Parler/Gab などの SNS、デートアプリ Tinder、メッセンジャー Telegram/Viber/Truecaller など、さらに Facebook グループ・Telegram グループ・Facebook Marketplace/Payment サービス Venmo の情報も分析対象となります。
画像処理モジュールにより、与えられた写真内の物体・ランドマークを検出します。また顔認識機能を持ち、リークされたエルサルバドル契約技術提案によると、個人を特定する写真を基に検索することも可能です。Tangles は公開データに焦点を当てており、現在は Penlink が「AI 搭載のオープンソースインテリジェンスプラットフォーム」として販売しています。ただし、Cobwebs からデータブローカー経由で購入された個人データを Tangles に組み込んでいるかは不明です。
その他の Cobwebs 製品
Webloc
本報告の主要テーマである Webloc は、数億人規模の人の行動および移動データを分析する広告ベース監視システムです。Tangles の公開ウェブ・SNS データとの対照的に、Webloc はモバイルアプリおよびデジタル広告からの購入データに依存します。これは、もともとは消費者アプリ運用や広告配信目的で収集された行動データを、監視目的へ再活用するものです(第 10 節で合法性議論)。2020 年に発表された Webloc は、人口全体の whereabouts・動き・個人属性をモニタリング可能な機能を持ち、研究によると米国顧客は別途 Webloc ライセンスを購入して使用する必要がありました。
Lynx
Lynx は Tangles のアドオン製品で、調査官や諜報アナリストが匿名ブラウザ・SNS 上で偽アカウントを使って全球プロキシインフラ経由で閲覧・操作できる機能を 제공합니다。「Virtual HUMINT Operations」として宣伝され、「1 クリックで仮想エージェントを作成・管理・維持」可能と謳われました。リークされたエルサルバドル契約技術提案によると、Lynx は「メール・SNS・掲示板」での「アバター管理」「仮想エージェント」を提供します。LA 警察(LAPD)から得た FoI 文書では、「オンラインの複数の Virtual HUMINT ソースからデータを収集」するために「アバター(仮想エージェント)を作成・利用」すると記載されています。メディア報道および公的記録から、Lynx がエルサルバドルおよび米国土安全保障省・国税庁(IRS)で購入された可能性が示唆されます。現在 Penlink から販売されているかは不明です。
Trapdoor
Trapdoor はほとんど報告されていません。2021 年の Cobwebs ウェブサイトでは「能動的ウェブインテリジェンス」システムとして紹介されました。第 8 節で簡潔に検討した通り、仕様書および技術分析によると、Trapdoor は社会工学プラットフォームであり、偽ウェブサイト作成・フィッシングリンク送付を通じて被害者からパスワードを含む情報を誘き出すことを支援します。さらに我々の分析では、Trapdoor が電池残量取得・カメラ・マイクアクセス・隠しタブ開閉・ペイロード配信など、マルウェア展開を容易にする機能を持つ可能性があるとも判断しました(ただし遠隔感染・マルウェア搭載自体は含まない)。現在 Penlink から販売されているかは不明であり、Trapdoor の顧客を特定できませんでした。サーバーインフラ分析ではケニア・インドネシアに Trapdoor ログインページを表示するアクティブサーバー 4 つ、関連 servers 2 つを発見しました。
Weaver
Weaver は「金融調査プラットフォーム」として宣伝され、詐欺・マネーロンダリング・サイバー脅威・レピュテーションリスクに対処するために、「法人・自然人与自然人物・パートナー就業者候補」を監視します。実質的には Tangles の金融機関向けバージョンと推測されます。顧客は特定できませんでした。サーバーインフラ分析では Weaver ログインページを表示するアクティブサーバー 1 つを発見しました。
脅威情報プラットフォーム
Cobwebs は「オープン・ディープ・ダークウェブおよび外部ソースからの巨大なデータ量」に基づく脅威情報プラットフォームも提供していました。サイバーセキュリティセクター向けの Tangles バージョンと推測されますが、顧客は特定できませんでした。
Penlink
2023 年以降、Webloc および Tangles は Cobwebs の後継である Penlink から販売されています。Lynx/Trapdoor/Weaver その他の製品についても同様の状況かは不明で、Penlink ウェブサイトでは promotion されていませんが、技術分析により 2026 年時点で Weaver/Trapdoor ログインページを表示するアクティブサーバーが確認されました。Citizen Lab への回答で Penlink は「我々の報告書に記載されているのは『もはや存在しない製品』である」と曖昧に主張しました。
Penlink は 1987 年に設立された米国ベースの監視技術ベンダーで、許可を得た通信傍受・SNS ユーザー調査を提供しています。PLX という製品では、AT&T/Verizon/T-Mobile/Comcast/Google/Facebook などから通話記録・検索履歴・ログインデータなどを収集・整理・分析します。Forbes によると、2022 年には ICE/FBI/DEA など連邦機関との年間 2,000 万ドル規模契約、多数の州・地方警察とも取引をしていました。ウェブsite には PLX/Tangles/CoAnalyst(ジェネレーティブ AI を活用した「デジタル調査」プラットフォーム)など複数の製品が紹介されています。ジャーナリスト Joseph Cox が 2026 年に発表したプロモーション文書では、「国家安全保障向けデジタルインテリジェンスパッケージ」として Tangles/Webloc/未公開製品 WebEye を挙げました(WebEye は「ウェブページ・ブラウザセッション抽出」専用とされるポルトガル語原文の記述)。同報告への回答で Penlink は「法執行機関が脅威を迅速に検索・分析・特定できるツールを提供し、共同体を安全に保つことにコミットしている」とし、「拉致児查找・人身/薬物麻薬取引対策・テロ脅威特定など重要な利用」を謳いました。
懸念点と公的議論
Webloc が数億人規模の個人データを監視目的で使用することは、市民権・無許可監視・データ保護に関する懸念を提起します(第 10 節参照)。しかし Webloc 以外にも近年問題視されてきた製品があります:
Meta は 2021 年の「監視業務受託産業脅威報告書」で Cobwebs を排除し、「Cobwebs 顧客アカウントは社会工学を用いて閉鎖コミュニティへの加入を試み、個人情報漏洩を誘発していた」と指摘しました。さらに「バングラデシュ・香港・米国・ニュージーランド・メキシコ・サウジアラビア・ポーランド」での顧客発見や、「特に香港・メキシコにおける活動家・反対派政治家・政府高官への頻繁な標的化」を観察したと報告しました。Cobwebs はこれを「誤り」と反発し、「アバターを提供していない」「無関係な国を挙げている」と主張しました。
2020-21 年に ISS World(監視技術市場イベント)で Cobwebs は「Tactical Web Intelligence & Social Engineering: Actionable Intelligence Gathering via Powerful WEBINT Platform」と題したセッションを行いました。
DHS の内部報告書(米上院議員 Ron Wyden が公開)によると、2020 ポートランドの BLM 抗議者に対し Tangles を用いてファイル作成が行われ、政治的動機による懸念が生じました。
リークされた 2020 年訓練マニュアルでは、BLM 活動家団体・抗議者・ジャーナリストのプロファイルが Tangles の監視対象例として掲載されていました。2 年後に米国政治状況変化に伴い、別のリークマニュアルでは January 6th 抗議者への標的化方法を説明しました。同様に 2020 年には LAPD から得た FoI 文書で、「Radical Civil Unrest」と題したウェビナーが開催され、「深層ウェブを介してどう激しき市民的不安を織り込むか」「d oxing・政府シンボルへの脅威・組織化かつ潜在的非暴力ネットワーク発見」などのトピックが議論されました。
ニュージーランド移民局(国境管理・ビザ発行・移民管理担当)は 2019-24 に Tangles を用いて SNS アカウントスキャンを行いました。内部監査によると「既知の人密輸業者」「不正移民アクター」などが対象とされ、年間 60 万ビザ処理のうちリスク人物から国を保護する目的で使用されたと移民大臣は述べました。2024 年の FoI 文書では、「SNS で使用するための偽人格自動登録簿」が設立された可能性を示唆しており、NZ 政府が Tangles 以外に Lynx も購入した可能性があります。
2023 年、Cobwebs は米国宗教根本主義者率いる民間諜報団体に Tangles を提供すると発表しました(The Intercept 報告)。同社は「児童性虐待者を狩る」「売春業者を追跡する」という名目で活動する組織に技術を提供し、脆弱グループの個人情報を露見させたと言えます。
以下各節で明らかになる事実に加え、Webloc の侵入性・顧客・潜在用途ならびに Cobwebs とスパイウェア業界とのリンクについて新たな懸念を生んでいます。Cobwebs は 2020 年に Webloc を発表し、「ウェブ生態系のあらゆるデジタルチャネルを慎重かつ徹底的に走査して位置情報データを集約分析するプラットフォーム」と称しました。2021 ウェブサイトでは「指定地理地域から巨量の位置データを入手」「多様な大規模データセットからの数十億データポイント」を活用すると謳い、すぐに同ページを削除しました。
ウェブインテリジェンス製品 Tangles は常に強力にpromotion されてきましたが、Webloc の情報は近年公衆視野から目立って消えました。2026 年現在、Penlink ウェブサイトでは Webloc が一度しか言及されず、Tangles 研修ページで「Webloc Fundamentals」コースが提供されています。
Cobwebs と後継 Penlink は Webloc の機能およびデータ処理慣行について十分な信頼性の高い情報を提供していません。当セクションの分析は主に 2021-2023 年の文書(リーク技術提案・ウェブで発見した仕様書・リサーチパートナーから得た release notes・契約関連公的記録)に基づいています。Penlink は 2025 年作成と思われる文書で基本機能を確認しましたが詳細は少ないです。さらに当報告への回答で、Penlink より追加情報が提供されました。
Webloc を用いた位置情報監視
リサーチパートナーから得たエルサルバドル国家民事警察との Webloc 契約関連リークドキュメントにより、Webloc の包括的な概観(UI スクリーンショット含む)が得られました。2021 年 2 月の日付、「Technical Proposal」(スペイン語原題:Propuesta Técnica)と題され、メキシコ企業 EyeTech Solutions が作成したものであり、El Faro が 2023 に Tangles/Lynx/Webloc のエルサルバドル警察への転売を報じたものです。同ドキュメントを以下に再掲載します。
この文書によると、Webloc は地球規模の 5 億台のスマホおよび他のモバイルデバイスから得られる常時更新される位置情報レコードストリームへのアクセスを提供します。
図 2(下)のスクリーンショットは Webloc UI を示しており、現アブダビ在住の男性ユーザーが追跡されている例です。同ユーザーには 141 のアプリがインストールされ、5 日間で 81 種類の GPS 座標をシステムに送信し、さらに Wi-Fi アクセスポイントから 110 回位置推定が行われたことが示されています。右下部のアクティビチャートでは、毎日最大 12 回の位置追跡が行われていたことが表れています。
地図上部に表示される端末固有識別子はモバイル広告 ID(MAID)であり、そのスマホに割り当てられた一意の識別子です。
別の画面例では、ドイツ→オーストリア→ハンガリーへの移動を追跡した結果(500 件中 39 件を分析)が示されています。
図 4 のスクリーンショットは、イタリアおよびルーマニアの特定地域内における 1,433 件の位置記録リストを表示しています。MAID で識別された 2 デバイスについて、両国で各 3 件の位置記録が取得されていることが確認できます。
図 5(エルサルバドル文書由来)では、テルアビブ某街区数ブロック内で歩行または走行ルートを可視化した例が示され、タイムライン付きでエリア内の 103 名の位置を追跡した結果が表示されています。
Webloc は位置追跡だけでなく、端末からデジタル広告企業・データブローカーへ常時ブロードキャストされる個人データに関する広範な情報にもアクセス可能です。
図 6(エルサルバドル文書)のテーブルは、ハンガリー在住の 18-24 歳男性(Samsung Galaxy S8 Android、英語設定)のプロファイル例を示しています。「User Segments」セクションでは、デジタルマーケティング広告ターゲティングで一般的に用いられる特性・行動(定期通勤者・バスケットボール好き・高級品購入意欲)や「保護者」「ゲーマー」「旅行者」というカテゴリー分類が挙げられています。
この「user segments」は典型的なデジタル広告ターゲティングカテゴリを示しており、Webloc がデジタル広告関連ソースからデータを取得していることを明確に示唆しています。例の属性は見かけ上不十分ですが、実際には雇用・政治信条・宗教・性的指向・妊娠・健康状態・個人債務など極めてセンシティブな情報が含まれます。
追加の Webloc ソース
理解を深めるための追加文書も分析しました。米国海軍情報局(ONI)が 2021 に公開した契約関連文書9 は、Android/iOS 両デバイスについて「モバイル広告 ID の常時モニタリング」が可能で、Wi-Fi 位置・端末情報・年齢・性別・言語・興味カテゴリ・インストール済みアプリデータなどが含まれると記載しています。10
2021 年製のベトナム系「Technical Specifications」文書(Cobwebs Technologies branding)では、広告 ID タイムスタンプ GPS/Wi-Fi 座標 IP アドレス キャリア情報 Wi-Fi 名 デバイスタイプ OS 年齢性別ロケール使用アプリ・広告ターゲメントセグメントなどを含むモバイルレコード収集・分析が強調されています。11 またエルサルバドル文書と同じ 3 プロファイルカテゴリー(保護者・旅行者・ゲーマー)を採用し、CSV フォーマットで生データをエクスポートする機能があると記載しています。12
ジャーナリスト Joseph Cox が 2026 に発表した Penlink branding プロモーション文書13 は、現在でも極めて類似の機能を有していることを確認しました(PDF メタデータより 2025 年作成)。ポルトガル語で作成された同文書は「国家安全保障向けデジタルインテリジェンスパッケージ」として Tangles/Webloc/その他製品を構成すると記述し、スクリーンショットで広告 ID 関連位置記録・インストール済みアプリ一覧を表示しています。
(※原文はここで途切れています。翻訳者注:元の文脈に基づき、以下のように補完的に整理します。)
以上が「Key Findings」と「Introduction」「Methodology」「Background」「2. Cobwebs, Penlink and Their Products」および最初の部分までのおおまかな翻訳構成となります。