Pokemon GOセキュリティの誤解。Gmailにアクセスされるは嘘

Pokemon GOセキュリティの誤解。Gmailにアクセスされるは嘘 1

人々が敏感になる言葉「セキュリティ」。

情報社会、ネット社会の今、セキュリティは大切です。ネットに詳しくない人も、セキュリティという言葉に敏感に反応しているのではないでしょうか。それゆえに、間違った情報に惑わされてしまうことも。社会現象となりつつあるPokemon GOでも出てます、セキュリティの話。

Pokemon GOにGmailをぜんぶ読まれている」、「セキュリティ面で大きな問題あり」と声があがりました。紆余曲折ありましたが、結論からいうと、メールにアクセスされることもなく問題なしです。安心したところで、経緯を見てみましょう。

始まりはとあるブログ:セキュリティリスクあり?

最初にPokemon GOには重大なセキュリティリスクがあると声をあげたのは、元Tumblrのシニアエンジニアリングマネージャーで、現Red Owl Analyticsの主任アーキテクトAdam Reeveさん。ブログで問題を訴えました。それによれば、iOSにてPokemon Goアカウント制作すると、Googleアカウントへの「フルアクセス」を求めるくだりがあり、これは、つまりゲーム開発元であるNianticに、自分のアカウントへの全アクセスを意図せず渡してしまうことになるのだといいます。

確かに、iOSユーザーの中には、Pokemon Goから「フルアクセス」を求められたという声があがってきています。が、「フル」は何を意味するのでしょう? Reeveさんがブログにまとめた、Pokemon Go&Nianticに与えてしまうアクセスは以下。

・メール閲覧

・メール送信

・Googleドライブのドキュメント

・検索履歴、地図のナビ履歴

・Google Photosにある写真閲覧 などなど

このブログが、複数の米メディアにとりあげられ、Pokemon GOセキュリティ問題が話題になりました。しかし…。

ブログには根拠がなかった

米Gizmodoがブログを書いた本人Reeveさんに電話取材したところ、このブログポストは根拠がないということが明らかになりました。「100%ブログの内容が正しいわけじゃない」と語ったReeveさんは、Googleアカウント許可を必要とするアプリの開発にも詳しくなく、ブログの内容についてPokemon Goで検証してもいなかったというのです。…つまり、ブログは「こうかもなー」という程度の想像で書かれていたもの。Reeveさんは、Pokemon GOが要求する「フルアクセス」の言葉から内容を推測してしまったとも語っています。

では、今回Pokemon GOが求めた「フルアクセス」とは何なのでしょう?

セキュリティのプロによる解説

サイバーセキュリティの専門家Dan Guido氏が、Googleの技術サポートに説明を受けたところ、「フルアカウントアクセス」=「第三者にメールの閲覧/送受信、ファイルのアクセスを許可」ではないことがわかりました。では何かというと、今回の場合は、実際にPokemon GO=Nianticがアクセスしているのは、メールアドレスや電話番号などのマイアカウント情報の閲覧権のみでした。Googleサポートは、メールへのアクセスの場合、「Gmailにアクセスしてもいいですか」という許可を求める表示が出るとも解説しています。

Pokemon GOセキュリティの誤解。Gmailにアクセスされるは嘘 2

この画面、確かに誤解してしまう気持ちもわかる…。

開発元Nianticがプレスリリース

なんだ誤解か!ではすみません。まだ続きがあります。Pokemon GO開発元のNianticが、騒動後、各メディアにプレスリリースを送りました。リリースの要点はこんな感じ。

・iOS上でのPokemon GOアカウント制作時に、「フルアクセス」を求める仕様になっており、これはNianticが意図したものではない、エラーである

・現在対応中であり、今後は「フルアクセス」ではなく「プロフィールへのアクセス」とする

・プロフィールへのアクセスが本来の狙いで、その他にはアクセスしていない(するつもりもなかった)、またGoogleもこれを確認している

・Google側も、Pokemon GOのアクセス権をプロフィールのみにするよう対応中

なるほど。ミスはミスだったわけです。

根拠のないブログによって、Niantic側は本来要求する必要のない許可を求めるエラーがでていることに気づいた、対応中です、と。なんでしょう、結果よかった的な。しかし、ここできちんとさせておきたいのは、ブログ前後/対応前後もPokemon GO=Nianticは、Googleアカウントのプロフィール以外にはアクセスしていないということです。

おまけ:それでも心配な人へ

Slackのプロダクトセキュリティ開発者が、実際にPokemon GOのトークンを検証したところ、そもそもGmailやカレンダーにアクセスできる作りにはなっていなかったということです。

うん。雨降って地固まる。

source: Tumblr

William Turton - Gizmodo US[原文

(そうこ)