「Pokemon GO」、「Google」アカウントにフルアクセスか--個人情報の閲覧や変更が可能

Zack Whittaker (ZDNet.com) 翻訳校正: 矢倉美登里 高橋朋子 (ガリレオ)2016年07月12日 10時23分
  • このエントリーをはてなブックマークに追加

 「Google」アカウントを使ってゲーム「Pokemon GO」にサインアップすると、ユーザーの明確な許可を得ないでゲームに「フルアカウントアクセス」が付与される。

 これは、セキュリティ上の大きなリスクにつながりかねない。「Tumblr」のブログで最初にこの問題を取り上げたAdam Reeve氏によると、これは「iPhone」と「iPad」に限られた問題のようだという。「Android」端末には影響しないと考えられる。

 2台のiPhoneでテストしたところ、Googleのユーザー名とパスワードでログインすると、Pokemon GOアプリはフルアカウントアクセスの許可を明確に要求しなかった。この時点までに、アプリはどのデータを必要とするのかユーザーに通知すべきだが、その手順を踏むことなくPokemon GOはアプリの利用規約へと移り、そこにはフルアカウントアクセスに関する言及はない。

 しかし、ユーザーは実際には、Pokemon GOとその開発元に対して、「Gmail」アカウントや受信トレイ、検索履歴、個人情報、「Googleフォト」、「Googleドライブ」内の全データ、「Googleマップ」の移動履歴などへのアクセスを許可したことになる。

 同アプリは、ユーザーのデータや受信トレイ、カレンダーイベント、検索履歴を読み取るだけでなく、変更を加えることもできる。そうした権限は通常、「Google Chrome」のようなブラウザやメールクライアントなどの信頼できるアプリに付与されるものであり、ゲームやその他大半のアプリには付与されない。

フルアクセス
提供:ZDNet/CBS Interactive

 Googleはヘルプページで、フルアカウントアクセスの権限は、「個人で使用しているパソコン、スマートフォン、タブレットにインストールした、完全に信頼しているアプリケーションにのみ付与するように」と述べている。そしてほとんどのアプリやゲームは一般に、基本的な連絡先情報といった最低限の情報しか要求しない。

 米ZDNetは開発元のNianticに問い合わせたが、本校執筆時点で回答は得られていない。

 Nianticにサインアップが殺到したため、多くのユーザーが手持ちのGoogleアカウントを使用している。この1週間に大量のユーザーが押し寄せたことでアカウントのサインアップページは挙動が不安定になり、たびたび利用不能な状態に陥っている。Pokemon GOの人気を考えると、手持ちのGoogleアカウントでサインアップしながら、大きなプライバシー侵害リスクに気づいていないユーザーは多数にのぼる。

 「Pokemon Trainer Club」のアカウントページは、本稿執筆時点では新規サインアップを受け付けていなかった。

 また、問題はそれだけにとどまらない。

  Pokemon GOのプライバシーポリシーには、個人を特定できる情報(PII)を含め、収集するデータは「事業資産とみなされる」と明記されている。つまり、会社が廃業したり買収されたりした場合には、ユーザーの個人データも同様の扱いを受けるということだ。

「Pokemon GO」では「Google」アカウントにフルアクセスする可能性が指摘されている。
提供:CNET/CBS Interactive

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

  • このエントリーをはてなブックマークに追加