logo

「Google+」消費者版が終了へ--APIのバグで最大50万人の情報流出のおそれ

Catalin Cimpanu (ZDNet.com) 翻訳校正: 編集部2018年10月09日 08時19分
  • 一覧
  • このエントリーをはてなブックマークに追加

 Googleは、同社のエンジニアらがAPIのバグを発見したことを受けて、同社のソーシャルネットワーク「Google+」の消費者向けサービスを終了すると発表した。このバグにより、最大50万人のGoogle+ユーザーの非公開のプロフィールデータの一部が流出した可能性がある。

 同社によると、バグがあったのは「Google+ People API」。Google+ユーザーはデフォルトで、自分のプロフィールデータへのアクセスをサードパーティーアプリに許可できる。FacebookやTwitterと同様に、Google+ユーザーは、自分の友達の公開プロフィール情報へのアクセスも、サードパーティーアプリに許可することができる。

 Googleのフェローでエンジニアリング担当バイスプレジデントを務めるBen Smith氏はブログ記事で、このバグにより、サードパーティーアプリは、一般的に参照が許可される公開データだけでなく、非公開に設定されていたユーザーのデータにもアクセスできるようになっていたと述べた。

 Googleは2018年3月にこのAPIのバグを発見し、直ちに修正したという。

 「APIをリリースした後、その後のGoogle+のコード変更との相互作用で、このバグが生じたと考えている」とSmith氏は述べ、「このバグを認識していた開発者やこのAPIを悪用した開発者がいた痕跡や、いずれかのプロフィールデータが不正に使用された痕跡は見つからなかった」とした。

 APIはログを2週間しか保存しないように設計されており、それ以前の履歴データにはアクセスできなかったため、このバグによる影響を受けたユーザーを特定することはできなかったという。

 「しかし、バグ修正に先立ち、2週間にわたる詳細な分析を行い、その分析の結果、最大50万件のGoogle+アカウントのプロフィールが影響を受けた可能性があることがわかった。当社の分析によると、最大438件のアプリケーションがこのAPIを使用した可能性がある」(Smith氏)

 The Wall Street Journalは、Googleのブログ記事と同じタイミングで記事を掲載し、このAPIのバグはブログに記載されているよりもはるかに深刻なものだったと指摘した。2015年からユーザーデータが流出していた可能性があるにもかかわらず、Googleのエンジニアがようやくこれを発見したのは、欧州連合(EU)の一般データ保護規則(GDPR)の施行に備えて、プライバシーの漏えいがないかGoogleのサイトを調査し始めたときだったという。この記事では、Googleが、「規制当局に直ちに目を付けられる」ことを恐れて問題を公表せずに隠ぺいしたとも伝えている。

 Smith氏は、Google+を今後10カ月の間に段階的に終了するとした。その間に、ユーザーは自分のデータをダウンロードまたは移行することができ、同サイトは2019年8月に完全に終了する予定だという。

 このデータ流出問題を公表するブログ記事の中で、Googleは、Googleアカウントとユーザーデータに対する新しいプライバシー機能も発表した。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

CNET Japanの記事を毎朝メールでまとめ読み(無料)

-PR-企画特集

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]