2026年3月27日、トランプ政権が公開したホワイトハウス公式アプリ。「大統領からの直接情報をフィルターなしで届ける」と宣伝されたこのアプリが、リリースからわずか数時間後にセキュリティ研究者によって逆コンパイル(リバースエンジニアリング)され、4.5分ごとにユーザーの正確なGPS座標を外部の商用サーバーに送信するコードが埋め込まれていたことが発覚しました。「ニュースアプリに、なぜそこまでの位置追跡が必要なのか?」──この記事では、問題の全容と日本のユーザーが取るべき対策をわかりやすく解説します。
この記事の内容
1. ニュースの概要──何が発覚したのか?
2026年3月27日、ホワイトハウスはApp StoreとGoogle Playで「The White House」という公式アプリをリリースしました。速報ニュース、ライブ中継、メディアライブラリ、大統領へのフィードバック送信機能を備えた「国民と大統領を直接つなぐアプリ」として大々的に宣伝されました。
ところが翌3月28日、セキュリティ研究者のThereallo氏がAndroid版APKを逆コンパイルし、その内部構造を公開。Xへの投稿は26万回以上表示され、大きな波紋を呼びました。
さらに別の研究者がiOS版でも同様の分析を実施し、Android・iOS両方で同じ問題が確認されました。Xの公式プロモーション投稿にはコミュニティノート(注釈)が付き、位置追跡の問題が警告される事態にまで発展しています。
発覚した主な問題は以下のとおりです。
| 発覚した内容 | 詳細 |
| GPS追跡パイプライン | OneSignal SDKによる完全なGPS追跡コードが組み込まれており、フォアグラウンドで4.5分、バックグラウンドで9.5〜10分間隔で位置情報を収集 |
| 過剰な権限要求 | 正確な位置情報、生体認証(指紋)、ストレージ変更、Wi-Fi情報、起動時の自動実行など |
| Cookie同意バイパス | アプリ内ブラウザがCookie同意画面やGDPR同意ダイアログを自動的に非表示にするスクリプトを注入 |
| Huawei追跡コード | プライバシー監査でHuawei Mobile Services Coreが組み込みトラッカーとして検出 |
| セキュリティ上の脆弱性 | 証明書ピンニングなし、YouTube埋め込みが個人のGitHubページからコード読み込み、外部の商用ウィジェットをサンドボックスなしで実行 |
2. 逆コンパイルで判明した技術的詳細
アプリの技術スタックは、React Native + Expo(SDK 54)で構築され、実行エンジンにHermes、バックエンドにWordPressを使用。開発は「forty-five-press」という外部の民間企業が担当したと設定ファイルから判明しています。
問題のGPS追跡に関して、逆コンパイルで判明した具体的な内容を整理します。
OneSignal SDK の位置追跡パイプライン
OneSignalはプッシュ通知プラットフォームとして広く使われていますが、位置情報に基づくターゲティング機能も備えています。逆コンパイルされたコードによると、以下の定数がハードコードされていました。
| 項目 | 値 |
| フォアグラウンド更新間隔 | 270,000ミリ秒(=4.5分) |
| バックグラウンド更新間隔 | 570,000〜600,000ミリ秒(=9.5〜10分) |
| 収集データ | 緯度、経度、精度、タイムスタンプ、フォア/バックグラウンド状態、GPS/ネットワーク判定 |
| 送信先 | OneSignalの商用サーバー |
| 要求パーミッション | 精密位置情報、おおよその位置情報、バックグラウンド位置情報の3種 |
追跡が有効になる3つのゲート
ただし、追跡は自動的に始まるわけではなく、3つの条件が揃って初めてGPS取得が起動する仕組みです。
① ソフトウェアフラグ:アプリ内部の共有設定に保存され、デフォルトは無効。アプリのスクリプト層から1行の命令で有効化が可能。バイトコード内にこの命令の参照が確認済み。
② ユーザーの位置情報許可:Androidランタイムでの位置情報パーミッション許可が必要。
③ デバイスの位置プロバイダー:端末側に位置情報を取得できるプロバイダーが存在すること。
つまり、追跡インフラ自体は完全に組み込まれており、たった1行のコードで有効化できる状態にあります。実際にスクリプト側がこのフラグをオンにしているかどうかは、5.5MBのバイトコードを完全に解析しないと確定できません。
位置追跡以外のデータ収集
OneSignal SDKは位置情報だけでなく、ユーザーの行動全般をプロファイリングしています。具体的には、タグによるユーザーセグメント化、SMS番号の関連付け、クロスデバイスID、通知の開封・無視のトラッキング、アプリ内メッセージのクリック追跡、パーミッション変更・サブスクリプション変更の監視などが含まれます。
iOS版の分析では、Apple要件のプライバシーマニフェストで収集データタイプが「空の配列」、トラッキングが「無効」と申告されていることも判明。実態とまったく一致していない状態です。
3. なぜニュースアプリに位置情報が必要なのか?
結論から言えば、ニュースアプリに4.5分間隔のGPS追跡は必要ありません。
世の中のニュースアプリが速報やライブ配信を行うために必要な権限は「ネットワークへの接続」のみ。RSSフィードで十分に実現できる機能です。地図アプリやデリバリーアプリのように位置情報が機能の根幹にあるサービスとは根本的に異なります。
考えられる位置情報の使い道を推測すると、以下のようなものがあります。
| 想定される用途 | 解説 |
| 地域別プッシュ通知 | OneSignalの位置ベースセグメント機能で、地域ごとにターゲティングしたメッセージを配信 |
| ユーザー行動分析 | どの地域のユーザーがどのコンテンツに興味があるか分析 |
| 集会・イベント把握 | 支持者の集まりや抗議活動の位置を把握する可能性 |
| 法執行連携 | アプリにはICE(移民関税執行局)の通報ページへのリンクがあり、位置情報との組み合わせが懸念される |
ちなみにオバマ政権時代のホワイトハウスアプリのプライバシーポリシーには、「当アプリは位置情報を収集せず、位置情報サービスを使用しません」と明記されていました。今回のアプリはその方針から完全に逸脱しています。
4. 故意? それともSDKの副作用?
これが最も議論されているポイントです。結論から言うと、「完全に事故」とは言い切れない状況証拠が揃っています。
「SDKの副作用」説を支持する根拠:
・OneSignalは数千ものアプリで使われている一般的なプッシュ通知SDK
・位置追跡コードはSDKに標準で含まれており、開発者が明示的に無効化しない限り残る
・ビルド設定には位置情報を除去する意図のプラグインが設定されていた
・デフォルトではソフトウェアフラグは無効になっている
「意図的」を疑わせる根拠:
・位置除去プラグインが設定されていたにもかかわらず、完全な位置追跡コードがアプリ内に残存している
・バイトコード内に位置共有を有効にする命令の参照がある(呼び出す準備が整っている)
・アプリが実行時に位置情報のパーミッションを要求している
・OneSignalのサーバー側からリモートでGPS追跡を有効・無効にできる仕組みがある(アプリ更新不要)
・iOS版のプライバシーマニフェストで「データ収集なし」と虚偽申告している
・プライバシーポリシーにアプリの位置追跡に関する記載が一切ない
ポイント:仮にSDKの組み込みミスだとしても、政府の公式アプリとしては「ありえないレベルのセキュリティ審査の甘さ」です。政府アプリには民間アプリ以上に厳格な基準が求められるはずであり、Huaweiの追跡コードが含まれている点も、米国政府自身がHuaweiを安全保障上の脅威として制裁している矛盾を突かれています。
5. ホワイトハウス側の公式見解
2026年3月30日時点で、ホワイトハウスはこの問題について一切の公式回答を行っていません。OneSignal側も同様に沈黙しています。
セキュリティ研究チームは「ホワイトハウスおよびCISA(サイバーセキュリティ・インフラストラクチャセキュリティ庁)に連絡したが、公開時点で回答はなかった」と報告しています。
なお、現在適用されているホワイトハウスのプライバシーポリシーは2025年1月20日に更新されたもので、アプリのリリース(2026年3月27日)より1年以上前の内容です。このポリシーには、モバイルアプリ、GPS追跡、OneSignal、位置データ収集、生体認証、バックグラウンドデータ収集に関する記述は一切含まれていません。
5. ホワイトハウス側の公式見解
2026年3月30日時点で、ホワイトハウスはこの問題について一切の公式回答を行っていません。OneSignal側も同様に沈黙しています。
セキュリティ研究チームは「ホワイトハウスおよびCISA(サイバーセキュリティ・インフラストラクチャセキュリティ庁)に連絡したが、公開時点で回答はなかった」と報告しています。
なお、現在適用されているホワイトハウスのプライバシーポリシーは2025年1月20日に更新されたもので、アプリのリリース(2026年3月27日)より1年以上前の内容です。このポリシーには、モバイルアプリ、GPS追跡、OneSignal、位置データ収集、生体認証、バックグラウンドデータ収集に関する記述は一切含まれていません。
6. 日本のアプリは大丈夫? 個人情報保護法との違い
今回の問題を受けて「日本のアプリは同じようなことをしていないの?」と不安に思う方もいるでしょう。日本と米国では法的枠組みに大きな違いがあります。
日本の個人情報保護法における位置情報の扱い
日本の個人情報保護法では、位置情報は単体では直ちに「個人情報」に該当しません。しかし、ユーザーIDや氏名と紐付いた場合、また長期間の蓄積により自宅や勤務先が特定できる場合は個人情報として保護対象になります。
また、2023年施行の改正電気通信事業法では「外部送信規律」が導入され、アプリやWebサービスが利用者の端末から情報を外部に送信する場合、その内容を通知・公表する義務が課されています。
| 比較項目 | 米国 | 日本 |
| 包括的プライバシー法 | 連邦レベルではなし(州法のCCPA等は連邦政府に不適用) | 個人情報保護法が政府機関にも適用 |
| 位置情報の扱い | 明確な規制なし(Carpenter判決で令状なし追跡は違憲だが、同意時は別扱い) | 個人と紐付く場合は個人情報。GPS取得にはポリシーでの明示と同意が推奨 |
| アプリストアの規制 | Apple・Googleのガイドラインがあるが、今回のように虚偽申告が通る場合もある | 同様にApple・Googleの基準適用。加えて総務省ガイドラインでの自主規制あり |
| 外部送信の規制 | 包括的な規制なし | 改正電気通信事業法の外部送信規律(2023年〜)で通知・公表義務あり |
日本のアプリは比較的安全と言えますが、油断は禁物です。日本の政府系アプリ(マイナポータル等)は位置情報の不必要な取得は行っていませんが、民間アプリの中にはOneSignalのような広告SDKを組み込んでいるケースも少なくありません。インストール時の権限要求には常に注意を払いましょう。
7. 位置情報を守る!iPhone・Android別の設定方法
自分の位置情報を不必要に提供しないために、今すぐ確認すべき設定をOS別に解説します。
iPhoneの場合(iOS 18以降)
| 設定項目 | 手順 |
| アプリごとの位置情報 | 設定 → プライバシーとセキュリティ → 位置情報サービス → 各アプリで「なし」または「使用中のみ」を選択 |
| 正確な位置情報のオフ | 各アプリの設定画面で「正確な位置情報」のトグルをオフにする(おおよその位置のみ提供) |
| Appのトラッキング拒否 | 設定 → プライバシーとセキュリティ → トラッキング → 「Appからのトラッキング要求を許可」をオフ |
| バックグラウンド更新 | 設定 → 一般 → Appのバックグラウンド更新 → 不要なアプリをオフ |
| プライバシーレポート確認 | 設定 → プライバシーとセキュリティ → Appプライバシーレポートを有効にして、どのアプリがどのデータにアクセスしたか確認 |
Androidの場合(Android 14以降)
| 設定項目 | 手順 |
| アプリごとの位置情報 | 設定 → 位置情報 → アプリの位置情報の権限 → 各アプリで「許可しない」または「アプリ使用時のみ」を選択 |
| 正確な位置情報のオフ | 各アプリの権限設定で「正確な位置情報を使用」のトグルをオフにする |
| 未使用アプリの権限自動リセット | 設定 → アプリ → 各アプリ → 権限 → 「アプリが使用されていない場合に権限を削除」をオン |
| ロケーション履歴 | 設定 → Google → Googleアカウントの管理 → データとプライバシー → ロケーション履歴をオフ |
| プライバシーダッシュボード | 設定 → セキュリティとプライバシー → プライバシーダッシュボードで、過去24時間の位置情報へのアクセスを確認 |
大原則:ニュースアプリ、SNSアプリ、ゲームアプリなど位置情報が本来不要なアプリには、位置情報の権限を「許可しない」に設定するのが最も安全です。「使用中のみ」でも、アプリ使用中は追跡されることを意味します。
8. まとめ──「便利なアプリ」の裏側を見抜く目を持とう
今回のホワイトハウスアプリ騒動は、「公式」「政府」「無料」というラベルが安全を意味しないことを改めて突きつけました。
今回の事件から学べること:
・アプリをインストールする前に、要求される権限リストを必ず確認する
・「ニュースアプリなのにGPS?」「天気アプリなのに連絡先?」──機能に不要な権限を求めるアプリは疑う
・定期的にスマホのプライバシー設定を見直す習慣をつける
・プライバシーポリシーがアプリの実態と一致しているか注意する
・不要になったアプリは放置せず削除する
日本では今のところホワイトハウスアプリほど極端な政府アプリの問題は報告されていませんが、民間アプリの中には多数のSDKが組み込まれ、知らないうちにデータが外部送信されているケースは珍しくありません。「自分のデータは自分で守る」意識が、これからの時代にはますます重要になっていきます。
※ この記事は2026年3月30日時点の公開情報に基づいています。ホワイトハウスおよびOneSignalからの公式回答が発表された場合は、内容を更新する場合があります。
出典:IBTimes UK / Substack(Mitch Jackson) / thereallo.dev / atomic.computer / Exodus Privacy
