個人情報をのぞき見するJay-Z

アプリの利用規約とユーザーが許可する権限について考えさせられる案件。

jayz-featured

ご存じない方もいるかもしれませんが、Jay-Zが7月に最新アルバム『Magna Carta Holy Grail』をリリースする3日前に、SamsungのGalaxyデバイスのユーザーは特別なアプリから同アルバムをダウンロードすることができました。この販促キャンペーンが発表されたときは、斬新なマーケティング手法が大きな話題を呼び、今後のビッグタイトルのリリース方法のモデルになると思われていました。

そして問題が起きます。まず、2,000万人とも言われるこのアプリをダウンロードしたユーザーは、その多くが、実際にアルバムにアクセスしようとするとうまくいきませんでした。Jay-Zが言うには、予想以上に人気が出たためにシステムがクラッシュしてしまったそうです。しかし、その後もっと大変な問題が起きました。電子プライバシー情報センター(EPIC)がSamsungを相手取って連邦取引委員会(FTC)に異議を申し立てたのです。EPICは、このアプリが使用する権利のない多くの情報にアクセスし、ユーザーのプラバシーを侵害していると非難しました。その情報には、ユーザーの位置情報、契約情報へのアクセス、ソーシャルメディアアカウントへの接続などが含まれていました。このアプリでは、FacebookかTwitterからログインが必要だったこと、またユーザーが曲の歌詞を「アンロック」するとアラートを投稿するよう求められていたことから、事実上こうした情報の提供が強制されていました。

もちろんSamsungはEPICの申し立てに反論し、声明のなかで、このアプリの「権限は他のアプリの標準的な権限と同レベルです。Samsungはダウンロードプロセスによってユーザーから取得したいかなる情報も不適切に使用または売却することはありません」と宣言しました。「みんながやっていることをやっているだけ」ということを企業風に言い換えた格好です。

多くのアプリがユーザーから同じような情報を収集していますが、ユーザーが認識しているよりもはるかにプライベートな情報が収集される場合も少なくありません。

その点についてはまったく正しいと言えます。多くのアプリがユーザーから同じような情報を収集していますが、ユーザーが認識しているよりもはるかにプライベートな情報が収集される場合も少なくありません。なぜなら、ほとんどのユーザーはアプリをダウンロードするときに合意する利用規約をちゃんと読まないからです。利用規約には、アプリにデバイスからデータを収集することを認めるさまざまな権限が記載されています。そのデータは、アプリによりますが、マーケティングに使われることもあれば、スパム送信や悪質な目的に利用されることもあります。AndroidはiOSよりはるかにオープンなプラットフォームなので、有害なアプリの数もiOSより圧倒的に多くなっています。『Magna Carta Holy Grail』アプリがAndroidデバイスで提供されているのも偶然ではないでしょう。

自分のアプリがどのようなデータの収集を許可しているかを知る最も確実な手段は、プライバシーに関する合意書を読み、どんな権限を与えるかを注意深く確認することです。たとえばラッパーのKiller Mikeは、Magna Cartaアプリのダウンロードを拒否して「これは受け入れられない」とツイートし、アプリが要求する権限のスクリーンショットを投稿しています。

ヒント

Windows Downdate攻撃から身を守る方法

Windows Downdateは、最新バージョンのOSを古いバージョンにロールバックさせ、脆弱性が残る状態を復活させ、攻撃者がシステムを容易に侵害できるような状態にする攻撃です。この攻撃のリスクを低減するにはどうしたらよいでしょうか?