登録会員限定記事 現在はどなたでも閲覧可能です
米グーグル(Google)は2018年10月8日(米国時間)、ソーシャル・ネットワーキング・サービス(SNS)「Google+」の消費者版を19年8月に終了すると発表した。ユーザーが非公開設定にしていた情報がAPI(アプリケーション・プログラミング・インタフェース)経由で外部アプリケーションに漏洩するバグが18年3月に見つかったが、今まで公表していなかった。
今回の問題は、グーグルによる発表の直前に米紙「Wall Street Journal(WSJ)」が報じていた。WSJが報じたグーグル社内のメモによれば、グーグルは18年3月に情報漏洩バグを公表することで、当時世間から批判を集めていた米フェイスブック(Facebook)の「ケンブリッジ・アナリティカ・スキャンダル」と同じ事態になって、スンダー・ピチャイ(Sundar Pichai)CEO(最高経営責任者)が議会に召喚されることを恐れていたという。
今Google+の情報漏洩バグに関しては、バグの存在そのものよりも、それを半年以上隠していたことの方が批判を集めそうだ。バグの修正は18年3月に実施していた。
API経由で非公開のプロフィール情報が漏洩
グーグルの発表によれば、同社は18年3月から、Googleアカウントに紐づくユーザーデータやAndroidデバイスに保存されているデータがサードパーティーによってどのようにアクセスされているのかを検証する取り組み「Project Strobe」を開始。この結果、Google+に2015年から存在する情報漏洩のバグを発見したという。
グーグルはGoogle+に、ユーザーのプロフィールなどのデータを外部アプリケーションから取り出せるAPIを用意していた。このAPIにバグがあり、ユーザーやその友達のプロフィール情報が「非公開」に設定してあっても取り出せるようになっていた。
漏洩対象のデータは、名前、電子メールアドレス、職業、性別、年齢など。ユーザーがGoogle+に投稿した内容や他のユーザーとやり取りしたメッセージ、Googleアカウントのデータ、電話番号、SaaS(ソフトウエア・アズ・ア・サービス)「G Suite」のコンテンツなどは漏洩の対象外だという。
ログは2週間しか保存せず、被害の全貌は不明
グーグルはAPIが悪用されたり、流出した情報が不正に利用されたりした証拠は見つからなかったと述べている。しかし額面通りに受け取るのは難しい。グーグルがAPIの利用ログを2週間分しか保存していなかったからだ。
グーグルは3月に2週間分のログを分析し、最大50万人のGoogle+ユーザーが情報漏洩の影響を被る可能性があり、最大438種類のアプリケーションが問題のあるAPIを利用していたことを突き止めたという。しかしバグは2015年から存在していた。それから2018年3月までにAPIがどのように利用され、何件のデータが流出したかは不明だ。
ユーザーの90%がGoogle+を使っていなかった
Project Strobeによる調査は、身もふたもない事実も明らかにした。Google+のユーザーの90%が同サービスを利用していなかったのだ。より正確に言うと、90%のユーザーのセッション時間が「5秒以下」だったのだという。
グーグルはGoogle+がほとんど使われていないことから、消費者向けのGoogle+で成功することは難しいと判断し、19年8月までに終了することを決めた。同社は法人顧客向けにエンタープライズ版のGoogle+を提供しており、そちらは今後も継続する。法人向けに特化した新機能なども提供するとしている。
またグーグルは、サードパーティーアプリケーションによるユーザーデータの利用に関する制限を強化する。具体的には、Googleアカウントに紐づくデータの利用や、Gmailデータの利用、Androidデバイス上の電話履歴やSMSデータなどに関して新たな制限を設ける。
ユーザーへの警告を強化
まずサードパーティーアプリケーションがGoogleアカウントに紐づくデータを利用する際に、ユーザーにアクセス許可を求める画面の仕様を変更する。これまではサードパーティーアプリケーションが複数の種類のデータ利用を要求した際には、すべての要求を一括して許可する画面が表示されていた。例えば「Googleカレンダー」のデータと「Googleドライブ」のデータに対するアクセス許可を同時に出せるようになっていた。
それを今後は修正し、データの種類ごとに許可を求める画面が表示されるようになる。上記の場合であれば、Googleカレンダーのデータに対するアクセス許可を決定する画面がまず表示され、その次にGoogleドライブのデータに対するアクセス許可を決定する画面が表示される。そして最後に、アプリケーションに対して与えたアクセス許可の内容を確認する画面が表示される。
電子メールサービス「Gmail」のデータに対するアクセスにも制限を設ける。Gmailのデータにアクセスできるアプリケーションの種類を、メールクライアント、メールデータのバックアップサービス、CRM(顧客関係管理)システムなど業務アプリケーションに限定する。
Androidデバイスでは、これまでサードパーティーアプリケーションはユーザーの許可さえ得られれば、デバイス上のSMSのデータや「連絡先」のデータ、通話履歴などのデータをAndroidのAPI経由で取得できた。
それを今後は制限する。まずSMSのデータや通話履歴のデータにアクセスできるのは、ユーザーがAndroidデバイス上で「標準の電話アプリ」や「標準のメッセージアプリ」に選んだものだけに限定する。また従来は「Android Contacts API」を使用すると、連絡先とのやり取り(直近で電話をかけた相手など)に関するデータを取得できたが、数カ月以内にそうしたデータを取得できなくする。
EU(欧州連合)が2018年5月に施行した一般データ保護規則(GDPR)は、情報漏洩を起こした事業者に対して72時間以内に監督機関に通知するよう義務付けている。グーグルは情報漏洩バグを2018年3月に発見した後に修正し、その後はバグによる漏洩の恐れはないとしていることから、GDPRに基づく報告義務の対象外だが、ユーザーのグーグルに対する不信感は高まりそうだ。
