Strava軍事データ流出——英国機密基地の500名超がフィットネスアプリで身元を晒した

フィットネスアプリ「Strava」が、英国の機密軍事基地に勤務する500名超の軍関係者の行動パターンを公開状態にしていたことが、英紙The i Paperの調査報道によって明らかになりました。

2026年1月以降、ノースウッド（英軍中央司令部）、ファスレーン（英国核抑止力の中枢・HMNB Clyde）、ノースヨークシャー（監視・情報施設）を含む複数の機密基地で、519名の軍関係者・請負業者・関係者のアクティビティが記録・公開されていたことが確認されています。

単なるランニングルートの公開にとどまらず、アクティビティの履歴やアカウント情報を組み合わせることで、個人の身元、居住地、勤務地の特定が可能です。なかには「Security Breach（セキュリティ侵害）」と名付けられた公開ルートも確認されており、その人物が配属されている核潜水艦を特定できる情報が含まれるケースさえありました。直近では、フランス海軍士官が空母シャルル・ド・ゴールの甲板でのランをStravaに投稿し、地中海における艦の位置がほぼリアルタイムで特定されるという事件も発生しています。

Stravaにはプライバシーコントロール機能が備わっており、アクティビティを非公開に設定することで情報の露出を抑えることができます。しかし問題の核心は、デフォルトの公開設定をそのままにするユーザーが多く、この構造が2018年のグローバルヒートマップ問題以来、8年間変わらないまま継続していることにあります。フィットネスアプリのプライバシー設定を見直すことが、今すぐできる最初の一歩です。

From: Fitness tracking under scrutiny as Strava military data leak exposes personnel

【編集部解説】

今回の問題を一言で表現するなら、「善意のテクノロジーが、安全保障の盲点になった」ということです。Stravaは誰かを傷つけようとして設計されたサービスではありません。むしろ、人々の運動習慣を豊かにし、コミュニティを育てることを目的とした、社会的価値の高いプラットフォームです。それがなぜ、これほど繰り返し軍事情報の流出源となるのでしょうか。

そこには、テクノロジーの本質的な問題が潜んでいます。

デフォルト設定という「見えない壁の欠落」

Stravaのアクティビティ公開設定は、デフォルトで「誰でも閲覧可能（パブリック）」になっています。これは2018年のグローバルヒートマップ問題が世界的な批判を浴びた後も、変わっていません。「プライバシーコントロールはある、しかし多くのユーザーは設定を変えない」という構造が、今日まで問題を継続させています。

軍の組織的なガイドラインが存在しても、個人の行動を完全に制御するのは困難です。今回の調査では、公開されたルートのひとつが「Security Breach（セキュリティ侵害）」と名付けられていたことが確認されています。問題を認識しながら、それでも公開し続けているという、ある種の「慣れ」が現場に生まれていることを示唆しており、これはむしろ技術的な対策よりも深刻な課題かもしれません。

スマートウォッチという「新しい盲点」

フランスの核潜水艦基地の事例では、基地への入場時にスマートフォンの持ち込みは禁止されていたにもかかわらず、スマートウォッチは見落とされていたことが報告されています。スマートウォッチはGPSデータをオフライン（ネットワーク非接続の状態）で記録し、後でスマートフォンと接続した際に自動的に同期・アップロードする仕組みを持っています。機密区域での行動が、本人の意識しないうちにアップロードされる、という事態が実際に起きていたのです。

ウェアラブルデバイスは今後も進化し続けます。スマートグラスや生体センサー内蔵の衣類など、「記録する機器」はますます目立たなくなっていきます。今回の問題は、物理的なデバイス管理の限界を突いたものとして理解するべきです。

OSINT（オープンソースインテリジェンス）の脅威

今回の調査で特に注目すべきは、これが「ハッキング」や「不正アクセス」ではないという点です。調査報道機関が使ったのは、誰でもアクセスできる公開情報だけです。名前、プロフィール写真、アクティビティのルート、時間帯、頻度——これらを組み合わせることで、個人の「生活パターン（pattern of life）」が詳細に再構成されます。

ノースウッドに勤務する英軍の上級筋はThe i Paperの取材に対し、この種のデータを「敵にとって極めて価値の高い情報（damn good intelligence for the enemy）」と表現しました。核抑止力の中枢であるファスレーン基地（英国トライデント核潜水艦の母港）において、乗組員だけでなくその家族まで特定されたという事実は、個人の安全に直結する問題です。

さらに今回の調査では、英国本土の基地にとどまらず、インド洋のディエゴ・ガルシア基地やキプロスのRAFアクロティリといった海外の作戦拠点——いずれもイランとの紛争に関与している基地——においても、軍関係者のアクティビティが公開状態にあったことが確認されています。被害の範囲は、国境を越えた規模に及んでいます。

【用語解説】

OSINT（オープンソースインテリジェンス）
SNS、ニュース記事、衛星画像、アプリのデータなど、誰もがアクセスできる公開情報を収集・分析して情報を得る手法だ。専門的なハッキング技術を必要とせず、公開情報のみを組み合わせることで機密性の高い情報を推測できる点が特徴。軍や諜報機関だけでなく、調査報道の現場でも広く用いられている。

グローバルヒートマップ（Global Heatmap）
Stravaが世界中のユーザーのアクティビティを集積し、運動経路を熱分布図として地図上に可視化する機能だ。2018年、この機能によってシリアやイラクの砂漠地帯に「運動の痕跡」が浮かび上がり、米軍基地の位置が露呈したことで世界的な問題となった。プライベート設定のアカウントも、集計データには含まれることがある。

セグメント機能（Segment）
Strava上でユーザーが任意の区間を「セグメント」として登録し、その区間のタイムを競い合う機能だ。アカウントをプライベートに設定していても、このセグメントを走った記録（通過の事実）が残ることがある。2022年のイスラエルの事例では、NGOが機密基地内に偽のセグメントを設置し、プライベートアカウントのユーザーを含む100名以上を特定した。

HMNB Clyde（ファスレーン基地）
スコットランド西岸に位置する英国海軍の主要基地だ。英国唯一の核抑止力である「トライデント（Trident）」搭載の弾道ミサイル潜水艦の母港であり、英国の核戦力の中枢を担う。今回の調査では同基地で110名のアクティビティが確認され、乗組員の家族も別途特定されている。

FakeReporter
イスラエルを拠点とするNGOで、偽情報やデジタル上の脅威を調査・報告することを目的としている。2022年にStravaのセグメント機能を用いてイスラエルの機密基地6箇所に偽セグメントを設置し、モサドの要員を含む100名以上のユーザーを特定するという調査を実施した。

【参考リンク】

Strava（外部）
世界185か国以上・1億9500万人超が利用するフィットネストラッキングアプリ。GPS記録、コミュニティ機能、セグメントタイム計測などを提供する。

The i Paper（外部）
英国の日刊紙。519名の英国軍関係者によるStravaデータ露出を最初に報じた、本記事の一次情報源にあたる調査報道メディアだ。

Bellingcat（外部）
OSINTを専門とする調査報道機関。Stravaの公開プロフィールのみを用いてSAS兵士14名を特定したことで広く知られる。

【参考記事】

Strava Revenue and Usage Statistics (2026) — Business of Apps（外部）
2025年のStravaユーザー数は1億8000万人・月300万人増。売上4億1500万ドルで前年比18.5%増。プラットフォームの規模と成長を示す最新統計をまとめている。

Over 500 British troops expose their locations in sensitive military sites — GB News（外部）
519名の軍関係者のアクティビティ確認を詳報。ファスレーンでは110名が確認され、配属核潜水艦の特定につながる情報も含まれていた。

Sailor Logs Run on Strava — Accidentally Leaks Location of Iran-Bound Warship — Newsweek（外部）
空母甲板での7.23km走が空母位置を暴露。90分後の衛星画像で裏付けられた2026年3月のフランス空母事件を詳報している。

French submarine crew accidentally leak sensitive information through Strava — Euronews（外部）
2000名超が勤務するフランス核潜水艦基地で、スマートフォン没収の一方スマートウォッチが見落とされていた実態を報告している。

Running Into Open Secrets: How to Investigate Using the Strava Fitness App — GIJN（外部）
Stravaを用いた調査報道の手法と歴史を体系的に詳述。ル・モンドの#StravaLeaks取材チームへのインタビューも収録した長編レポートだ。

Strava: The Nuclear Carrier Is Over Here — The 5K Runner（外部）
2018年から2026年までのStravaと軍事情報漏えいの全事例を時系列で整理。「デフォルト公開」という構造問題が8年間変わらない点を指摘している。

Strava data leak exposes UK military base routes — Business Upturn（外部）
今回の英国事案を安全保障・政策の観点から分析。現代の軍事安全保障がデジタル行動に依存している構造的問題を論じている。