Googleが2000万回ダウンロードされた子供向けAndroidアプリ3つを保護違反で削除

公式アプリストアであるGoogle Play Storeには現在、300万近いアプリがある。膨大な数であるためか、中には危険なアプリが紛れ込んでいることもある。

ボストンの非営利監視機関であるInternational Digital Accountability Council(IDAC)の研究者たちが、一見無害に見える3つの若年層向けアプリがデータ収集に関するGoogle(グーグル)のポリシーに違反し、ユーザーのAndroid IDとAndroid Advertising ID(AAID)の数値にアクセスしていた可能性があることを発見した。データ漏洩はUnityやUmeng、AppodealのSDKを利用して制作されているアプリで起こっているようだった。

アプリは、3つ合わせて2000万以上ダウンロードされている。

問題となっている3つのアプリ、Princess SalonNumber ColoringCats & Cosplayは、リンクからわかるように現在はすでにGoogle Play Storeから削除されている。グーグルは、IDACにポリシー違反を指摘されてからアプリを削除したことを認めた。

「我々は、報告で言及されていたアプリが削除されたことを確認している。ポリシーに違反しているアプリを見つけ次第、そのような対応をお粉テイル」とグーグルの広報担当者は述べている。

違反行為は、今回の特定のアプリだけでなく、データ保護ポリシーの遵守をめぐる3社の一般的な態度への危惧へと繋がる。IDACの理事長であるQuentin Palfrey(クエンティン・ポールフリー)氏は「私たちの調査で見つかった行為は、このようなアプリにおけるデータの扱い方への深刻な懸念を喚起した」と述べている。

現在、グーグルとその事業の大きさに対して多くの関心が集まっているやめ、今回のインシデントは余計に目立つものとなっている。今週初めに米国司法省と11の州が同社を告訴(未訳記事)し、検索と検索広告における同社の独占的で反競争的な行為を非難した。

今回のアプリの違反は検索とは無関係だが、同社の事業規模を窺わせるに十分だ。小さな見落としが、数千万のユーザーに影響を及ぼす。また本来、アプリがストアに並ぶ前に違反はチェックされるべきだが、その膨大な数を考えるとそれも難しい。そして看過される違反は、幼いユーザーというリスクの大きい領域に影響を及ぼすことがある。

3社のうち、Creative APPSLibii Techの2社の他のアプリは健在だ。Libiiのアプリには、さまざまなキャラクターが登場する。またアプリの各バージョンはこのようなAPKサイトからいまでもダウンロードできる。iOSバージョンもあるが、IDACによると、初期の分析では同様の懸念はないという。ただし状況の監視は今後も続けるそうだ。

今回の違反行為は複雑だが、ユーザーが知らないうちにアプリを介して追跡されていることの、1つの例にすぎない。

アプリのバックグラウンドでの動きと一見無害なアプリにロードされるデータ処理の例として、IDACはアプリの開発者が利用する3つのSDKを挙げた。それらの問題発生源は、Unityの3Dエンジンとゲームエンジン、Umeng(Alibabaの子会社のアナリティクスプロバイダーでFlurry of China(未訳記事)とも呼ばれるが、アドウェアのプロバイダーという説もある)、そしてAppodeal(アプリの収益化とアナリティクスのプロバイダーの1つ)だ。

ポールフリー氏の説明によると、問題はアプリがSDKを介してアクセスするデータが、位置情報などその他のデータにリンクしていることもあるという点にある。「AAIDの情報がAndroid IDのような恒久的なIDと一緒に送信されたら、グーグルが講じた保護措置がバイパスされることもある」と同氏はいう。

IDACの報告書はすべてのSDKの違反を細かく具体的に挙げていないが、1つの例として、UnityのSDKの一部のバージョンはユーザーのAAIDとAndroid IDを同時に収集するので、プライバシーのコントロールをバイパスして長期的かつ複数のデバイスにわたってユーザーを追跡できるという。

IDACはAAIDについて「ユーザーに関するすべてのデータを1カ所に集めるためのパスポートのようなもの」という。広告主はAAIDを見てユーザーの好みなどを知り、広告のターゲティングを行う。AAIDはユーザーがリセットできるが、SDKがユーザーのAndroid IDへのリンクも提供していれば、それは静的な数値であるためユーザーを同定して追跡するための「ブリッジ」を作り始める。

IDACが見つけた違反によって取り出されたデータの量をポールフリー氏は明かしておらず、その量が判明したのかも不明だが、グーグルによると今後もパートナーシップを持続し、同様の(意図的あるいはその他の)悪者を捕まえる手順を開発していく。

これに関してGoogleの広報担当者は「共同開発の例として、広告の検証プログラムFamiliesがある。2019年に発表され、子どもやファミリー向けの広告には、子供や家族関連ポリシーへのコンプライアンスを自己証明したSDKだけを使うよう求めている。また、子ども対象のアプリには、子ども向けサービスとして承認されていないAPIやSDKが使われないよう要求している」。

2020年の4月にローンチしたIDACはFuture of Privacy Forumからのスピンオフで、これまで不妊解消アプリや新型コロナウイルス追跡アプリのデータプライバシー違反を調査してきた。今週初めには、数百万のユーザーに被害が及ぶTwitterのMoPub SDKの旧バージョンのデータ遺漏に関する所見を公開している

画像クレジット:Libii

原文へ
(翻訳:iwatani、a.k.a. hiwa

投稿者:

TechCrunch Japan

TechCrunchは2005年にシリコンバレーでスタートし、スタートアップ企業の紹介やインターネットの新しいプロダクトのレビュー、そして業界の重要なニュースを扱うテクノロジーメディアとして成長してきました。現在、米国を始め、欧州、アジア地域のテクノロジー業界の話題をカバーしています。そして、米国では2010年9月に世界的なオンラインメディア企業のAOLの傘下となりその運営が続けられています。 日本では2006年6月から翻訳版となるTechCrunch Japanが産声を上げてスタートしています。その後、日本でのオリジナル記事の投稿やイベントなどを開催しています。なお、TechCrunch Japanも2011年4月1日より米国と同様に米AOLの日本法人AOLオンライン・ジャパンにより運営されています。