「Google」アカウントを使ってゲーム「Pokemon GO」にサインアップすると、ユーザーの明確な許可を得ないでゲームに「フルアカウントアクセス」が付与される。
これは、セキュリティ上の大きなリスクにつながりかねない。「Tumblr」のブログで最初にこの問題を取り上げたAdam Reeve氏によると、これは「iPhone」と「iPad」に限られた問題のようだという。「Android」端末には影響しないと考えられる。
2台のiPhoneでテストしたところ、Googleのユーザー名とパスワードでログインすると、Pokemon GOアプリはフルアカウントアクセスの許可を明確に要求しなかった。この時点までに、アプリはどのデータを必要とするのかユーザーに通知すべきだが、その手順を踏むことなくPokemon GOはアプリの利用規約へと移り、そこにはフルアカウントアクセスに関する言及はない。
しかし、ユーザーは実際には、Pokemon GOとその開発元に対して、「Gmail」アカウントや受信トレイ、検索履歴、個人情報、「Googleフォト」、「Googleドライブ」内の全データ、「Googleマップ」の移動履歴などへのアクセスを許可したことになる。
同アプリは、ユーザーのデータや受信トレイ、カレンダーイベント、検索履歴を読み取るだけでなく、変更を加えることもできる。そうした権限は通常、「Google Chrome」のようなブラウザやメールクライアントなどの信頼できるアプリに付与されるものであり、ゲームやその他大半のアプリには付与されない。
Googleはヘルプページで、フルアカウントアクセスの権限は、「個人で使用しているパソコン、スマートフォン、タブレットにインストールした、完全に信頼しているアプリケーションにのみ付与するように」と述べている。そしてほとんどのアプリやゲームは一般に、基本的な連絡先情報といった最低限の情報しか要求しない。
米ZDNetは開発元のNianticに問い合わせたが、本校執筆時点で回答は得られていない。
Nianticにサインアップが殺到したため、多くのユーザーが手持ちのGoogleアカウントを使用している。この1週間に大量のユーザーが押し寄せたことでアカウントのサインアップページは挙動が不安定になり、たびたび利用不能な状態に陥っている。Pokemon GOの人気を考えると、手持ちのGoogleアカウントでサインアップしながら、大きなプライバシー侵害リスクに気づいていないユーザーは多数にのぼる。
「Pokemon Trainer Club」のアカウントページは、本稿執筆時点では新規サインアップを受け付けていなかった。
また、問題はそれだけにとどまらない。
Pokemon GOのプライバシーポリシーには、個人を特定できる情報(PII)を含め、収集するデータは「事業資産とみなされる」と明記されている。つまり、会社が廃業したり買収されたりした場合には、ユーザーの個人データも同様の扱いを受けるということだ。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」