ポケモン×AR位置ゲームIngressのNianticコラボで人気爆発中のスマホアプリ『Pokémon GO』ですが、Googleアカウントを使ってサインアップすると、大きなセキュリティリスクがあることが明らかになりました。このリスクはiOS版のみで、Android版にはないとのことです。
問題なのは、この2つめの方法。Tumblrのブログで指摘したAdam Reeve氏によると、Googleアカウントでサインアップする際、情報アクセスにつきほとんど警告がないまま手続きが完了。しかしアプリに許可されたアクセス権限を確認してみると、驚くべきことにGoogleアカウントへのフルアクセスが許可されていたそうです。
これにより『Pokémon GO』アプリが実行できる権限の一例は次の通り。
- 全てのメールの閲覧
- ユーザーに成り代わったメールの送信
- Google Drive上のドキュメントへのアクセス(削除済みを含む)
- 検索履歴とマップナビ履歴の参照
- Googleフォト上にある全てのプライベート写真へのアクセス
もちろん単なるゲームアプリである『Pokémon GO』に、ここまでの情報アクセス権限は必要ありません。Adam氏は単なるNianticのケアレスミスで、個人情報をこっそり集める意図はないだろうと述べています。
が、『Pokemon GO』のプライバシーポリシーにはNianticが集めた個人情報は会社の資産とみなされ、同社が買収ないし合併された場合はそれが移転すると明記。Nianticに悪意がなくても、将来のリスクまでは否定できません。
『Pokémon GO』のフルアクセス削除は、「アカウントに接続されているアプリ」ページでアプリを選んで「削除」するだけ。ただ、その場合はPokémon Trainer Clubでアカウントを作らねばならず、そちらで登録できないとプレイできないことは言うまでもありません。
その一方で、日本を含むその他の国でもGoogle Playでのインストールをお預けされる、所謂「おま国」(お前の国は除く)が続いているため、待ちきれないユーザーがGoogle Playの外で配布されている野良APKに手を出したところ、それがマルウェア入の偽装アプリだった事例もすでに報告されています。
7月10日時点で、すでに『Pokémon GO』のユーザー数はTwitterにも匹敵する勢いとのこと。多くのユーザーが集まるところが悪意が向けられるホットスポットだと肝に銘じて、自分の端末や情報は自分で守る心構えが必要かもしれません。