<前の日記(2011年09月27日) 次の日記(2011年10月14日)> 最新 編集

高木浩光@自宅の日記

目次 はじめに 連絡先:blog@takagi-hiromitsu.jp
訪問者数 本日: 118   昨日: 3637

2011年10月10日

スパイウェア「app.tv」に係るミログ社の大嘘

株式会社ミログが9月27日に提供開始した「AppLog」がスパイウェアまがいであるとして、朝日新聞10月5日朝刊に以下の記事が掲載された。

  • アプリ利用時間や回数丸わかり「アップログ」に批判, 朝日新聞2011年10月5日朝刊
  • AppLog: insidious spyware rolled out in Japan by Milog, Inc. *1, The Asahi Shimbun, 2011年10月5日

    スマートフォンの利用者がどんなアプリ(ソフト)をいつ、何回使ったかを記録して好みを分析し、興味を引きそうな広告を配信する。そんなプログラムが現れ、インターネット上で批判を集めている。プログラムは電話帳など無関係に見えるアプリに組み込まれ、アプリ利用者への説明が十分ではないからだ。(略)

    問題視されているのは、利用者に存在が見えにくいうえ、どんな情報を集めて何に使っているか、わかりにくいこと。アップログが組み込まれたアプリは行楽地ガイドや郵便番号検索など様々だが、アプリの紹介にアップログの機能は明示されていない。(略)

AppLogでは、送信の有無を設定する「AppLog送信設定」の画面が非同期に*2現れて、「AppLog送信を許可する」の設定をしない限り送信が開始されない、オプトイン方式になってはいるものの、どんな情報を送信するのかの説明が不十分(「端末のアプリケーション情報等」としか書かれておらず、何のことだか分かる人はほとんどいない)であることが問題とされた。

しかし、その後、Twitter上での有志らによる情報共有と実証実験、コード分析により、ミログ社は、それ以前にもっと問題のあるアプリ「app.tv」を頒布していたことが明らかになった。*3

app.tvとは何かについては、ミログ社自身により以下で説明されている。

これらを読むと、基本は動画配信のアプリ(コンテンツ毎に独立した個々のアプリとして頒布されていた*4)であり、そこにリワード広告機能を加えているということになっている。

しかし、一般的なリワード広告とは異なり、app.tvは、AppLogと同様の仕組みにより、実行中の他のアプリの履歴を1時間ほどの間隔の精度で記録し、毎日、ミログ社へ送信する仕組みを備えたものであった。

利用者にはそのことが説明されておらず、利用者の視点からすれば、「動画と思ってダウンロードしたのに、知らないうちに個人に関する情報を盗まれていた」という状態になるという、典型的なスパイウェアであることが判明*5 *6した。

なお、そうして集めた情報をどのように使用していたか、また使用する予定であったかは、以下などの報道から窺える。ミログ社の城口社長は、集めた情報のことを「Big Data」と呼んでいる*7

その後、システムの脆弱性が発覚*8するなどの経緯があり、10月10日、ミログ社は、AppLogサービスの停止と、app.tvの停止を発表した。(停止の理由は脆弱性と不具合のためとされている。)

問題はミログ社の「公式見解」である。

「アプリケーション情報」という、何を意味するのかが一般人には理解不能な用語を使用することによって、理解できないままの「同意」(ボタンを押すという形式的な「同意」)を誘っているという問題があるのは相変わらずであるが、ここでまず着目すべきは、「スパイウェアとの指摘に関して」の部分である。

スパイウェアとの指摘に関して

一部よりスパイウェアという指摘を頂いることに対して重く受け止めております。インストール時に明示的にユーザー許諾画面を出すので、スパイウェアという認識はしていません。しかしながら、送信許可に同意頂いた場合も、AppLogは視認できない環境で動作しているため、ユーザーにとって不安を煽る事実を再認識させて頂き、現在改善を予定しています。具体的には、AppLog実行中は常駐アイコンをステータスバーに表示させる形で提供し、情報送信停止機能への導線も継続的に提示する仕様を検討中です。

AppLogSDKに関する公式見解, 株式会社ミログ, 2011年10月10日

「スパイウェアという認識はしていません」というのだが、この段落は、スパイウェアとの指摘をAppLogだけの問題であるかのように書いている。AppLogの不完全な同意について今後改善するという。

問題はapp.tvの方である。app.tvについては、それより前の節の、以下の部分に書かれている。

ミログ社アプリケーション(app.tv, AppReward)とのAppLogとの関連性に関して

app.tvには、AppLogSDKは現在導入しておりません。app.tvは、広告アプリケーションのインストール及び初回起動により仮想通貨を無料で獲得でき、それを利用することで実質無料で動画コンテンツを視聴できるサービスです。よって、広告アプリケーションのインストール、初回起動確認の目的でアプリケーション情報を取得させて頂いております。(※当該部分はリワード広告という分野であり、AppRewardという名称で行っています。)

サービス利用開始時に明示的に許諾確認をしており、拒否の場合は、サービス利用自体ができない仕様となっています。app.tv経由でのアプリ情報送信を望まれない場合は、app.tvの利用規約に同意頂かないか、同意済みの場合は、アンインストールして頂ければ情報の取得は行われません。 (※現在、該当箇所に、重大な瑕疵が発見されており、事実誤認があるかもしれません。apptvに関しては別途ご連絡申し上げます。)

現在、AppLogの文脈で、app.tv/AppRewardに対する批判を頂いております。

• Gmailの取得目的に関して

app.tv では購入履歴、閲覧履歴をアカウントに紐づけて管理しております。Android IDの場合だと、必ずしも一意とは限らず、また機種変更の際には引き継げないためです。それ以外の目的では利用しておりません。

•ユーザー許諾画面に関して

上述の通り、ユーザーへの許諾画面は初回起動時に明示的に出しております。(文言に関しては定期的に見直しております。

ミログ社が掲載した図

AppLogSDKに関する公式見解, 株式会社ミログ, 2011年10月10日

問題は2点ある。

まず、他アプリの利用履歴を取得することの妥当性について、ミログ社は「当該部分はリワード広告という分野であり」と、あたかも、一般的なリワード広告にとって必要とされている取得であるかのような説明*9をしているが、一般的なリワード広告が、他アプリ全部の利用履歴(広告対象のアプリ以外のアプリの利用履歴)を取得するものであるわけがない*10。このことは、他アプリ全部の利用履歴を取得するというのは、ミログ社が言うところの「ミログが保有する独自技術」とされていることから、自明である。

そして、最も問題が大きいのは、「サービス利用開始時に明示的に許諾確認をしており」という虚偽の説明である。

「許諾確認」というのが文章的に意味不明(誰が何を誰に許諾するのか不明)であるが、暗に、履歴情報の送信について利用者の同意を得ているということが言いたい(そのように読解されるように書いたつもり)のだと思われる。

上で引用したミログ社掲載の図には、「ようこそ」の下に以下のように書かれている。

app.tvはお客様のアプリケーション情報を取得し、コンテンツの改善に利用致します(現在、ご登録頂きました情報はリワード広告表示及び成果測定のために使用しております)。利用規約、プライバシーポリシーをよくお読みになり、ユーザ情報をご登録下さい。

これで、履歴情報の取得を説明して同意を得ている(つもり)というのだろうが、実は、このような説明が出るようになったのは、10月7日以降(いつからかは不明)のことである。

私が、10月7日午前1時44分にapp.tvを試したときの画面の記録を以下に示す。

画面キャプチャ
図1: 2011年10月7日午前1時44分時点での「app.tvへようこそ」の画面

書かれている文は、「app.tvはお客様の情報を取得し、コンテンツの改善に利用致します。利用規約、プライバシーポリシーをよくお読みになり、ユーザ情報をご登録下さい。」であり、「アプリケーション情報」という記述はなかったし、丸括弧で書かれた利用目的に関する記述もなかった。

これは、書き忘れたとか説明が足りなかったというレベルのものではない。ここで言う「お客様の情報を取得」というのは、この画面で入力を求めている性別と生年月日のことを指して書いたものであることは明らかであろう。

つまり、初めから、他アプリの利用履歴情報を吸い取ることについて、説明する意思がなかったものと思われる。

よく見ると、改竄された方の説明では、「ご登録頂きました情報はリワード広告表示及び成果測定のために使用しております」と、意味が間違ったものになっている。リワード広告の成果測定のために使用するのは、他アプリの利用履歴情報のことであるはずなのに、「ご登録頂きました情報」と、違うものを指してしまっている。あわてて間違えたか、担当者の本心(この画面で入力する情報の説明だという意識)が出たものではないか。

この画面には「利用規約」と「プライバシーポリシー」のボタンがあり、タップすると表示されるようになっているが、どちらも非常に長大な文となっている。「利用規約」を表示させたときの様子を以下の図に示す。

画面キャプチャ 画面キャプチャ 画面キャプチャ 画面キャプチャ 画面キャプチャ
図2: 「app.tvへようこそ」の画面で利用規約を表示させた様子

これらの中で、他アプリの利用履歴を送信することについての記述があるかというと、辛うじて該当すると言えなくもない部分が「第9条(広告システムの導入)」にあった。ここは以下のように書かれていた。

第9条(広告システムの導入)

1. 当社は、AppTVにおいて、AppRewardをはじめとするリワード広告システムを導入しております。AppRewardとは、広告アプリケーションをインストールおよび初回起動することで、ユーザーにポイントを付与する当社独自のリワード広告システムのことを言います。

2. AppReward等のリワード広告システムを利用する際に、ユーザーの端末にインストールされているアプリケーションに関する情報などの一部個人情報を利用する事があります。

このような記述で、これが何を意味しているか、理解できる人が全国で何人いるだろうか?

この利用規約を指して「よくお読みになり、ユーザ情報をご登録下さい」と説明すれば、はたして、スパイウェアと処断されることを免れることができるであろうか?

日本では、今年7月14日に施行された改正刑法により、スパイウェアの(スパイウェアとしての)頒布は、刑法168条の2第2項、不正指令電磁的記録供用の罪に問われる場合がある。そのような供用の目的でプログラムを作成する行為は、同第1項、不正指令電磁的記録供用目的作成罪に問われ得る*11

動画配信アプリとして頒布しながら他アプリの利用履歴送信の事実について同意を得ることなく実行させていると、そのプログラムは、条文にある「人が電子計算機を使用するに際して(略)その意図に反する動作をさせる(略)指令」に該当するということになる。

利用規約にぼやっと曖昧に書いて「よくお読みになり」と書いておけば罪を免れられるというのでは、ワンクリック詐欺のアプリ版(IPAによる解説参照)や、フィッシングの偽アプリ版(銀行アプリの偽プログラム)を処罰できなくなるのであるから、少なくとも「利用規約に書いてある」というだけでは済まない。

ただし、今回のようなケースが、不正指令電磁的記録の罪に該当するかは、条文にある「不正な指令」に該当するか否かがどう判断されるかによる。「不正な」というのは、刑法175条前段の「わいせつな」と同様に、規範的構成要件要素と呼ばれるもので、世間一般がどのようにみなしているかによる。つまり、このような情報の取得が無断で行われることを、世間は許すのか許さないのかである。

ミログ社の人たちにとって、「アプリケーション情報」なるものは、勝手に取得してかまわない情報と、素で信じているのかもしれない。しかし、Twitterでの声にたびたび流れているように、企業が業務で使用するスマートフォンでこうしたスパイウェアが混入すると企業秘密が漏洩することになることから、こうした状況が続くようならAndroidの使用自体を避けざるを得ないといった声が出始めている。不正指令電磁的記録の罪の保護法益である「電子計算機のプログラムに対する社会一般の者の信頼」*12がまさに害された状況であろう。

いずれにせよ、ミログ社は、今回、嘘の発表をした。これまでどうしていたかを説明することが求められている発表において、「app.tvへようこそ」の画面を変更してからそれを書いた。

奇しくも、ミログ社自身による「(文言に関しては定期的に見直しております。)」という記述が、嘘を自覚しながら書いていたことを示している。

*1 現在ではタイトルが変更されている。

*2 組み込まれたアプリが直接出すのではなく、Androidの「通知」機能を通じて利用者の選択によって現れる。

*3 Twitterでのやりとり

*4 ミログ社による「app.tvアプリ一覧」参照。(現在は「app.tvは現在全面的にサービス停止しています」と表示され、Android Marketからも削除されている。)

*5 「株式会社ミログのAndroidスパイアプリ問題について」(崎山伸夫のBlog, 2011年10月10日)参照。

*6 「app.tv系コンテンツアプリによる実行されている及びインストール済みアプリ情報の送信について」(突然消失するかもしれないブログ, 2011年10月10日)参照。どのような情報がいつ送信されているかが実証されている。

*7 日本Androidの会 2011年10月定例会での講演タイトル「"Big Data"アプリ情報(applog)が描くアンドロイドの未来」より。

*8 「AppLogのオプトアウトの仕様の脆弱性について」(突然消失するかもしれないブログ, 2011年10月10日)参照。ANDROID_IDで指定する任意の利用者について、勝手にオプトイン状態に変更できてしまう脆弱性(いわば「強制オプトイン攻撃」の脆弱性)があった。

*9 ミログ社の文章が分かりにくいので、若干の解説を加えておくと、「広告アプリケーションのインストール、初回起動確認の目的で」の部分、「広告アプリケーション」というのは、広告を表示するアプリの意味ではなく、広告されるアプリ(アプリの宣伝をしてほしいと広告を出稿しているアプリ)(この広告システムはアプリを宣伝するもの)のことを指しており、リワード広告は「成功報酬型広告」の一種であることから、「成功」の確認のために、紹介したアプリが実際にダウンロードされて使用されたかまでを確認することを「初回起動確認の目的で」と説明しているものと思われる。

*10 一般的なリワード広告での「初回起動確認」の実現は、広告されるアプリにもリワード広告のプログラムモジュールを埋め込んでおくことにより、そのモジュールのプログラム実行によって初回起動確認をする方法がとられていると思われる。

*11 もし、AppLogも該当する場合には、自ら供用せず、他のアプリ開発者をして供用に至らしめるものであることから、同第1項、不正指令電磁的記録供用目的提供罪に問われ得る。

*12 法務省による解説「いわゆるコンピュータ・ウイルスに関する罪について」より。

本日のTrackBacks(全3件) [TrackBack URL: http://takagi-hiromitsu.jp/diary/tb.rb/20111010]

AppLog界隈が騒がしい.気になったのでまとめを探した.
後で読む.


■ スパイウェア「app.tv」に係るミログ社の大嘘 高木浩光氏(2011/10/10)
迫力が半端ない,全力….ページ下部に参考URLが揃ってい...

ここで思い出すのが2005年の SONY BMG の CCCD (正しくは XCP-CCCD)によるルートキットのインストール問題だ。

みなログ@CM.labs お名前: iOS5でフリック入力ミスが増えた方必見!もっさり解消法 http://hitoxu.com/01421 -- あおたん 2011-10-18 (火) 09:35:30 「iOS 5」でバッテリー駆動時間を少しでも長くする方法 http://taisyo.seesa...

本日のリンク元
検索

<前の日記(2011年09月27日) 次の日記(2011年10月14日)> 最新 編集

最近のタイトル

2011年12月04日

2011年11月26日

2011年11月19日

2011年11月06日

2011年11月05日

2011年11月01日

2011年10月14日

2011年10月10日

2011年09月27日

2011年09月10日

2011年08月14日

2011年08月07日

2011年07月29日

2011年07月28日

2011年07月26日

2011年07月16日

2011年07月07日

2011年06月30日

2011年06月26日

2011年06月25日

2011年06月14日

2011年06月12日

2011年06月09日

2011年06月05日

2011年06月04日

2000|01|
2003|05|
2004|07|08|09|10|11|12|
2005|01|02|03|04|05|06|07|08|09|10|11|12|
2006|01|02|03|04|05|06|07|08|09|10|11|12|
2007|01|02|03|04|05|06|07|08|09|10|11|12|
2008|01|02|03|04|05|06|07|08|09|10|11|12|
2009|01|02|03|05|06|07|08|09|10|11|12|
2010|01|02|03|04|05|06|07|08|09|10|11|12|
2011|01|02|03|05|06|07|08|09|10|11|12|
<前の日記(2011年09月27日) 次の日記(2011年10月14日)> 最新 編集