「Google+」消費者版が終了へ--APIのバグで最大50万人の情報流出のおそれ

　Googleは、同社のエンジニアらがAPIのバグを発見したことを受けて、同社のソーシャルネットワーク「Google+」の消費者向けサービスを終了すると発表した。このバグにより、最大50万人のGoogle+ユーザーの非公開のプロフィールデータの一部が流出した可能性がある。

　同社によると、バグがあったのは「Google+ People API」。Google+ユーザーはデフォルトで、自分のプロフィールデータへのアクセスをサードパーティーアプリに許可できる。FacebookやTwitterと同様に、Google+ユーザーは、自分の友達の公開プロフィール情報へのアクセスも、サードパーティーアプリに許可することができる。

　Googleのフェローでエンジニアリング担当バイスプレジデントを務めるBen Smith氏はブログ記事で、このバグにより、サードパーティーアプリは、一般的に参照が許可される公開データだけでなく、非公開に設定されていたユーザーのデータにもアクセスできるようになっていたと述べた。

　Googleは2018年3月にこのAPIのバグを発見し、直ちに修正したという。

　「APIをリリースした後、その後のGoogle+のコード変更との相互作用で、このバグが生じたと考えている」とSmith氏は述べ、「このバグを認識していた開発者やこのAPIを悪用した開発者がいた痕跡や、いずれかのプロフィールデータが不正に使用された痕跡は見つからなかった」とした。

　APIはログを2週間しか保存しないように設計されており、それ以前の履歴データにはアクセスできなかったため、このバグによる影響を受けたユーザーを特定することはできなかったという。

　「しかし、バグ修正に先立ち、2週間にわたる詳細な分析を行い、その分析の結果、最大50万件のGoogle+アカウントのプロフィールが影響を受けた可能性があることがわかった。当社の分析によると、最大438件のアプリケーションがこのAPIを使用した可能性がある」（Smith氏）

　The Wall Street Journalは、Googleのブログ記事と同じタイミングで記事を掲載し、このAPIのバグはブログに記載されているよりもはるかに深刻なものだったと指摘した。2015年からユーザーデータが流出していた可能性があるにもかかわらず、Googleのエンジニアがようやくこれを発見したのは、欧州連合（EU）の一般データ保護規則（GDPR）の施行に備えて、プライバシーの漏えいがないかGoogleのサイトを調査し始めたときだったという。この記事では、Googleが、「規制当局に直ちに目を付けられる」ことを恐れて問題を公表せずに隠ぺいしたとも伝えている。

　Smith氏は、Google+を今後10カ月の間に段階的に終了するとした。その間に、ユーザーは自分のデータをダウンロードまたは移行することができ、同サイトは2019年8月に完全に終了する予定だという。

　このデータ流出問題を公表するブログ記事の中で、Googleは、Googleアカウントとユーザーデータに対する新しいプライバシー機能も発表した。