FacebookとGoogleの調査アプリ問題の要点解説

FacebookとGoogeは、先週、社内専用の証明書を不正に使用したことを突き止めたTechCrunchの2回にわたる調査により、Appleと共に煮え湯に放り込まれることとなった。FacebookとGoogleは証明書を取り消され、終日のアクセス停止措置に追い込まれた。

いったい何が起きたのか、混乱されている方もおいででしょう。ここに、私たちが知っておくべき事件のすべてを解説しよう。

そもそもの始まりと問題の発生

先週の月曜日(日本語版は1月31日)、我々は、企業内の従業員専用であることを条件に、AppleのApp Storeを介さず配布が許されるアプリのための企業向け証明書を、Facebookが悪用していたことを突き止めた。Facebookはその証明書を使って社外にアプリを配布していたのだ。これはAppleの規約に違反する。

このアプリは「Research」という名で知られ、デバイスに出入りするすべてのデータのアクセス権を要求するという、前代未聞のアプリだ。これには、ユーザーがもっとも知られたくない個人的なネットワークデータも含まれる。このアプリをインストールすると、Facebookからユーザー(13歳から19歳の若者を含む)に月20ドルの報酬が支払われる。しかし、実際にどのデータが吸い取られていたのか、またその目的は明らかにされていない。

このアプリは、ユーザーのデータをあまりにも集めすぎるという理由で、昨年、AppleのApp Storeでの配布を実質的に禁止されたアプリの体裁を変えただけのものだと判明した。

App Storeから排除し、二度と開けないように無効にしたアプリを、企業向けとして特別に発行された証明書を悪用し再び配布しているFacebookに、Appleは激怒した。しかしFacebookは、他の従業員専用アプリを使用するために、Appleが証明書を再発行するまで事実上オフラインで、その同じ証明書を使い続けている。

そしてGoogleも、ほぼ同じことをScreenwiseアプリで行なっていたことがわかった。これもまた、Appleによって配布が禁止された

企業向け証明書の何が問題で、それは何をするものなのか?

Apple用のアプリを開発するときは、その規約に従う必要があり、Appleは、開発者からの明示的な同意を得ることになっている。

規約の主眼は、アプリがAppleの入念な審査を経て安全であると確認された証拠として、必ずApp Storeで配布されるようにすることにある。ただし、企業内アプリの開発に関しては例外を設けている。社内目的により従業員のみが使用するアプリの開発は、その限りではない。問題のアプリは、FacebookとGoogleが企業内アプリの開発用として登録し、Appleの開発規約に同意している。

Appleが発行する企業向け証明書は、内部で開発したアプリの配布を許可している。これには、一般に配布するアプリをテストの目的で社内配布することも含まれる。しかし、この証明書では、社外の一般消費者に使わせることは許可されていない。一般のユーザーはApp Storeからダウンローロする決まりになっているからだ。

ルートアクセス権限とな何か、なぜルートアクセスがそんなに問題なのか?

FacebookのResearchもGoogleのScreenwiseも、AppleのApp Stroe以外の場所から配布されていたので、ユーザーは自分の手でインストールする必要があった。これを「サイドローディング」と言う。ユーザーは、煩雑な手順を踏んでアプリをダウンロードし、FacebookでもGoogleでも、企業内開発者のコード署名証明書を開いて信用する旨を伝えて、初めてアプリを実行できる。

どちらの場合も、アプリをインストールした後、さらにもうひとつの設定手順が要求される。いわゆるVPNプロファイルだ。ユーザーのデバイスから流れ出るすべてのデータを、専用のトンネルを使って、どちらのアプリをインストールしたかによってFacebookまたはGoogleに送られることを許可する手続きだ。

ここで、FacebookとGoogleとの違いが現れる。

Googleのアプリは、収集したデータを調査目的でGoogleに転送するが、暗号化されたデータにはアクセスできない。たとえば、HTTPSで保護されたすべてのネットワーク通信でのコンテンツだ。App Storeで配布されているほとんどのアプリもインターネットのウェブサイトも、これによって保護されている。

ところがFacebookは、もっと深く手を入れてくる。スマートフォンの「ルート」レベルのアクセスの自由を許可するための、もう一段階の手続きを要求してくるのだ。Facebook Researchのルートアクセス権限を許可すれば、スマートフォンから発せられる暗号化されたデータもすべてFacebookに開示されることになる。いわゆる「中間者攻撃」だ。これによりFacebookは、私たちのメッセージ、メール、その他スマートフォンから発せられる細かいデータを選り分けることが可能になる。ただし、証明書ピンニング(自分のもの以外の証明書を拒否する)を使用したアプリだけは守られる。Appleの「メッセージ」、Signal、そして終端間の暗号化ソリューションなどがこれに該当する。

Facebook Researchアプリはルート証明書アクセスを求めてくる。これにより、Facebookはスマートフォンから発信されるデータをひとつ残らず回収できる。

 

Googleのアプリは暗号化された通信を覗くことはできないかも知れないが、それでも規約を守っていないため、単独に所有していた企業向け開発コード署名証明書は無効にされた。

FacebookはiOSのどのデータにアクセスしていたのか?

それを確かめるのは難しいが、Googleよりも多くのデータにアクセスしていたことは確かだ。

Facebookでは、そのアプリは「人々がモバイルデバイスをどのように使っているかを理解する」ことを助けるものと話していた。実際、ルートレベルでは、スマートフォンから発信されるあらゆるデータにアクセスできたはずだ。

我々の記事に協力してくれたセキュリティー専門家のWill Strafachは、こう話している。「もしFacebookが、ユーザーに要求した証明書の効力で最大レベルのアクセスを可能にした場合、次のようなデータを継続的に収集できるようになります。ソーシャルメディア・アプリでのプライベートなメッセージ、インスタントメッセージ・アプリでのチャット(互いにやりとりした写真や動画も含まれる)、電子メール、ウェブ検索、ウェブ閲覧行動、位置情報を追跡するアプリがいずれかでもインストールしてあれば、そこからリアルタイムの位置情報もわかります」

注意して欲しいのは、ここで話しているのは「脱獄」によるスマートフォンのルートアクセスなどとは違う。ネットワーク通信のルートアクセスだ。

これらが一般の市場調査と技術的に異なる点は何か?

公平を期して言うなら、市場調査アプリを使っているのはFacebookやGoogleだけではない。NielsenやcomScoreといった企業も同様の調査を行なっている。しかし、VPNをインストールさせたり、ネットワークのルートアクセスの許可を求めるような企業はない。

いずれにせよ、Facebookはすでに私たちのデータをたんまり集めている。Googleもしかり。これらの企業が、他の人たちとのやりとりに関するデータだけを知りたいだけであったとしても、誰と話しているのか、何を話しているかを集中的に聞き出そうと思えばできる。しかし、いくつものセキュリティー上の問題や個人情報漏洩などの事件を起こして爆発的なスキャンダルとなったにも関わらず、去年はその対処にぜんぜん力を入れてこなかったFacebookにとっては、大きな問題ではないのかも知れない。

Facebookスキャンダルへの今年の対応に「満足」するMark Zuckerberg(本文は英語)

スマートフォンの持ち主が話す相手のデータも回収されるのか?

FacebookもGoogleも可能だ。Googleの場合、相手のデータも含め、暗号化されていないものは回収できたはずだ。Facebookの場合はさらに強力だ。他の人と交わしたあらゆるデータがFacebookのアプリによって回収された可能性がある。

どれくらいの人が影響を受けたのか?

はっきりとはわからない。GoogleもFacebookも、ユーザーの数については明らかにしていないからだ。両方で数千人程度だろうと思われる。アプリの停止の影響を受けた従業員は、Facebookで3万5000人以上、Googleで9万4000人以上だ。

Appleが証明書を無効にしたとき、FacebookとGoogleの社内用アプリが使えなくなったのはなぜか?

Appleのデバイスは、誰が持っていようとAppleがコントロールできるようになっている。

Appleは、Facebookのルート証明書には手が出せないが、Appleが発行した企業向け証明書は操作が利く。Facebookの活動が露呈した後にAppleはこう言っている。「企業向け証明書を使って開発されたアプリを消費者に配布すれば、例外なく証明書は無効になります。私たちのユーザーとそのデータを守るために、私たちはそれを履行しました」。つまり、Facebookの企業向け証明書に基づくあらゆるアプリ(社内で使用していたものも含め)が、ロードできなくなるということだ。これは、Facebookの公開前のビルド、開発中のInetagramやWhatsAppに止まらない。同社の旅行アプリや協働アプリも使えなくなったと報告されている。Googleの場合は、仕出しやランチのメニューアプリもダウンしたという。

Facebookの社内アプリは、およそ1日ダウンしていた。Googleの社内アプリが止まっていたのは数時間だ。しかし、FacebookもGoogleも、一般向けのサービスに影響はなかった。

この件を通して人々はAppleをどう見ているか?

現在、FacebookとGoogleを大歓迎している人はいないようだが、Appleもあまり良くは思われていない。Appleは、ハードウエアを販売しても、ユーザーの個人情報を集めたり、それを広告に利用したりはしない。それはFacebookやGoogleと違うところだ。しかし、Apple製品を使う消費者や企業に対するAppleの権力の大きさを不快に思う人たちがいる。

FacebookとGoogleの企業向け証明書の失効と、それによるアプリの機能停止は、Apple内部にも悪影響が伝搬した。

アメリカでは合法なのか? ヨーロッパのGDPRではどうなのか?

少なくともユーザーの同意を得ているので、アメリカ国内では合法だと、Facebookは言っている。さらに、13歳から19歳のユーザーは保護者の同意が必要だと同社は主張しているが、それは簡単に偽装できるし、検証もされていない。しかも、実際にどれだけの個人情報が吸い取られるのかを、同意した子どもたちが完全に理解しているかを確かめる方法がないことも、まったくもって明らかだ。

子どもの同意を浮き彫りにしたFacebookのVPNアプリ(本文は英語)

これは、規制上の頭の痛い問題に発展しかねない。「ヨーロッパの子どもたちがFacebookの調査に参加したとすると、ヨーロッパの一般データ保護規制(GDPR)から、また別の猛攻撃を受けることになる。さらに、その地区のプライバシー制度に定められた『プライバシーバイデザイン』の条件にそぐわず、受け入れられないと地元当局が判断すれば、多額の罰金が課せられる」とTechCrunchのNatasha Lomasは書いている。

証明書の不正利用者は他にいないか?

この問題の当事者はFacebookとGoogleだけだなどと思ってはいけない。規約に違反している企業がたくさんあることが判明している。

ソーシャルメディアで見受けられるそうした企業には、ベータプログラムに企業向け証明書を使っているSonos、同じことをしている金融アプリのBinance契約者の車両のためのアプリに利用しているDoorDashなどがある。これらの企業の企業向け証明書もAppleが無効にするかどうかは定かではない。

次はどうなる?

誰でも想像できることだが、こうした問題が今すぐ解決するとは思えない。

Facebookはヨーロッパでだけでなく、家庭でも反発を食らうだろう。Mark WarnerとRichard Blumenthalの2人の米国上院議員は、「十代の若者を盗聴した」として、すでにFacebook糾弾の呼びかけを行っている。Blumenthalの主張が通れば、米連邦取引委員会も調査を始めるだろう。

Warner上院議員はZuckerbergに市場調査のルールに従うよう要求(本文は英語)

[原文へ]
(翻訳:金井哲夫)

若者に金を払い彼らをスパイするアプリをインストールさせるFacebook

競合他社のデータが欲しくてたまらないFacebookは、内密に人々に金を払い、Facebook ResearchというVPN(仮想プライベートネットワーク)をインストールさせていた。ユーザーのスマートフォンやウェブでの活動情報をすべて吸い上げるというものだ。これは、Appleによって6月に禁止され、8月に排除されたFacebookのOnavo Protectアプリとよく似ている。そこでFacebookはApp Storeから離れ、ティーンエイジャーや大人たちに報酬を支払ってResearchアプリをダウンロードさせるようになった。Facebookはこのアプリにルート権限を持たせ、おそらくAppleの規約に違反して、スマートフォンを使ったユーザーの活動の暗号解読と解析を行っていることがTechCrunchの調査で確認された。FacebookはTechCrunchに対して、Researchプログラムでユーザーの行動に関するデータを集めていたことを認めたが、止めるつもりはないとも話している。

2016年より、Facebookは、13歳から30歳までのユーザーに最大で月20ドルと紹介料を支払い、iOSまたはAndroid版の「Facebook Research」アプリをインストールさせて、彼らの個人情報を買い取っていた。Facebookは、Amazonの購入履歴のスクリーンショットの提出も要求していた。この計画は、ベータテストを請け負うApplause、BetaBound、uTestといった企業を通して運営され、Facebookの関与は隠されていた。一部の資料では、計画名が「プロジェクト・アトラス」とされていて、世界の流行やライバルをマッピングしようとするFacebookの思惑を見事に表現している。

我々が、Guardian Mobile Firewallのセキュリティー専門家であるWill StrafachにFacebook Researchアプリの解析を依頼したところ、彼はこう教えてくれた。「もしFacebookが、ユーザーにCertificate(証明書)のインストールを要求して、最高レベルまでアクセスを可能にした場合、次のようなデータを継続的に収集できるようになります。ソーシャルメディア・アプリでのプライベートなメッセージ、インスタントメッセージ・アプリでのチャット(互いにやりとりした写真や動画も含まれる)、電子メール、ウェブ検索、ウェブ閲覧、位置情報を追跡するアプリがいずれかでもインストールしてあれば、そこからリアルタイムの位置情報もわかります」 。この中でFacebookが本当に欲しい情報がどれなのかは不明だが、このアプリをインストールさせれば、ほぼ無制限にユーザーのデバイスにアクセスできるようになる。

この戦略から、Facebookが、その拠り所であるAppleのiOSプラットフォームの規約を破ってまでして、どこへ行こうとしているのか、また今の独占状態を保つためにどれだけ支払う気があるのかが見てとれる。Appleは、FacebookにResearchアプリの配布を止めさせる手段を講じたり、社内使用限定アプリの提供許可を取り消すなどしてきたが、両者の関係はどんどん悪化する恐れがある。AppleのTim Cookは、Facebookのデータ収集活動を再三批判してきた。iOSの規約に従わず、さらなる情報を吸い上げ続けるFacebookの問題は、新しい段階に入ろうとしている。TechCrunchは、この問題の認識についてAppleにコメントを求めたのだが、記者発表の前に話を聞くことはできなかった。

「とても専門的に聞こえますが、『私たちのRoot Certificate(ルート証明書)をインストールしてください』というステップにはゾッとします」とStrafachは私たちに話した。「これにより、Facebookは私たちのもっともセンシティブなデータに継続的にアクセスできるようになります。そしてほとんどのユーザーは、同意書にサインはしても、これに本当の意味で同意することはできません。同意した時点で、どれだけの権限をFacebookに譲り渡すのか、はっきりとわかる方法がないからです」

Facebookの調査アプリ

Facebookがデータを嗅ぎ回るビジネスを開始したのは、2014年に1200万ドル(約13億円)でOnavoを買収したときからだ。そのVPNアプリによって、ユーザーはモバイル機器のデータプランの利用状況を確認し節約することが可能になったのだが、同時に、ユーザーがどのようなアプリを使っているかという深いところまで解析する権利をFacebookに与えてしまった。BuzzFeed NewsのCharlie WarzelとRyan Macが入手した内部資料によれば、Facebookは、WhatsAppから1日に発信されるメッセージの量がFacebookのMessengerの2倍であることをOnavoを使うことで知ったという。OnavoはFacebookに、急速に成長するすスタートアップWhatsAppの存在を知らせ、2014年に同社を190億ドル(約2兆754億円)で買収する理由を与えた。それによりWhatsAppのユーザー基盤は3倍になり、Onavoはその優れた先見性を示すこととなった。

それから数年間、OnavoはFacebookに、どのアプリを真似するべきか、どのような機能を作り、どんな失敗を避けるべきかを提言してきた。2018年までFacebookは、メインのFacebookアプリのProtect」ボタンでOnavo Protectアプリを推奨し、情報源となるユーザーを増やそうとしていた。さらにFacebookは、監視中にパスコードや指紋でアプリをロックするOnavoのBolt App Lockアプリの配布を開始したが、プライバシー上の批判を受けてすぐに取り下げている。Onavoのメインのアプリは、今でもGoogle Playにあり、1000万回以上ダウンロードされている。

3月、ユーザーが画面をオンオフしたこと、またVPNがオフのときでもWi-Fiとスマートフォンのバイト単位のデータ利用状況をOnavo ProtectがどのようにFacebookに報告しているかをセキュリティーの専門家Strafachが詳しく解説すると、大きな反動が起きた。6月、Appleは開発者向けの規約を改定し、他のアプリの利用状況や、自身のアプリの機能とは関係のないユーザーの情報の収集を禁じた。8月、Appleは、Onavo Protectがデータ収集に関する規約に違反していること、そしてApp Storeでの配布を止めるようFacebookに伝え、Facebookはそれに従ったと、WSJのDeepa Seetharamanは伝えている。

しかし、それでもFacebookのデータ収集は終わらなかった。

プロジェクト・アトラス

TechCrunchがこのほど入手した情報から、Onavo ProtectがApp Storeから追い出されても、Facebookは似たようなVPNアプリを「Facebook Research」という別名で、ユーザーに報酬を支払う形でApp Storeとは別のところから配布していることがわかった。我々の調査で判明したのは、BetaBound、uTest、Applauseというベータテストを請け負う3つの企業に依頼して、FacebookがResearchアプリを配布しているということだ。Facebookは、2016年にResearch VPNアプリの配布を開始している。これは2018年中ごろから「プロジェクト・アトラス」と呼ばれるようになった。ちょうど、Onavo Protectの問題が騒がれ、AppleがOnavoを締め出すために規約を改定した時期だ。しかしFacebookは、一般ユーザーのスマートフォンの使用状況に関するデータの収集をあきらることはなく、Onavo ProtectがAppleによって排除された後も、Research計画を継続した。

uTestが運営するプログラムのInstagramとSnapchatの広告(下の写真)は、「有償ソーシャルメディア調査」と称して13歳から17歳の若者に参加を訴えかけている。Applauseが管理するFacebook Researchの申し込みページでは、Facebookの名前は出てこないが、「対象年齢:13-35(13-17歳の方は保護者の同意が必要です)」のユーザーを求めている。未成年者が申し込もうとすると、保護者の同意書の記入フォームが表示され、そこにはFacebookの関与がこう記されている。「当プロジェクトに参加することによるリスクは報告されてませんが、当プロジェクト固有の性質上、お子様がアプリをご使用になる際に個人情報が追跡されることをご理解ください。お子様のご参加には、Applauseより報酬をお支払いいたします」。お金が欲しい子どもたちは、報酬と聞けば自分のプライバシーをFacebookに売ってもいいと思うだろう。

Applauseのサイトでは、Facebook Researchアプリによって収集される可能性のあるデータの種類が次のように説明されている(私に該当する部分は太字にしてある)。

「このソフトウエアをインストールすることにより、あなたは私たちの依頼主に、あなたの携帯端末から収集したデータ、および、携帯端末にインストールしているアプリの機能の利用状況に関する情報の提供を許可したものとみなします。……つまり、あなたは以下のような情報の収集を、私たちの依頼主に許可します。あなたの携帯端末に入っているアプリは何か、いつどのようにそれを使っているか、あなたの利用状況およびそのアプリに含まれるコンテンツに関するデータ、それらのアプリを通じて、他の人たちがどのようにあなたやあなたのコンテンツに関わっているか。また、あなたは私たちの依頼主に、インターネットでの閲覧状況(どのウェブサイトを見たか、そして、あなたのデバイスとそれらのウェブサイトとの間で交わされたデータを含む)と、他のオンラインサービスの利用状況に関する情報の収集も許可することになります。私たちの依頼主は、アプリが暗号化されているとき、または保護されたブラウザーの利用中でも、これらの情報を収集することがあります

一方、URLの最後に「Atlas」と付いているBetaBoundの申し込みページでは、「アプリをあなたの携帯端末にインストールしてバックグラウンドで実行すると、1カ月に20ドル(eギフトカード)が支払われます」と説明されている。このサイトでも、最初にFacebookの名前は出てこないが、Facebook Researchのインストール説明書でFacebookの関与がわかる。

Facebookは、Appleの審査が必要で、参加者が1万人に限定されるApple公認のベータテスト・システムTestFlightは意図的に避けているようだ。その代りに、説明書では、ユーザーはアプリを「r.facebook-program.com」からダウンロードし、Enterprise Developer Certificate(企業向け開発者証明書)とVPNをインストールして、ユーザーのスマートフォンにFacebookがルートアクセスすることに加えて、大量のデータ転送を許可してFacebookを「信頼する」ことになっている。Appleでは、従業員に向けた社内用アプリの配布にのみこの証明書システムを使うよう、開発者に同意を求めている。テスターを無作為に募り、月額で報酬を支払うというのは、この規約の精神に反する。

インストールしても、VPNを常に実行状態にして、Facebookにデータを送り続けなければユーザーは報酬を受け取れない。Applauseが管理するプログラムでは、ユーザーのAmazonの注文履歴のスクリーンショットの提出も求めてくる。Facebookはこのデータを使って、ユーザーのネット閲覧の習慣とアプリの利用状況を、買い物の好みや買い方にが結びつけることができる。その情報は、ターゲットを絞ったピンポイントの広告を打ったり、どんなタイプのユーザーが何を買うのかを知る役に立つ。

TechCrunchは、Facebook Researchアプリの解析と、データの送り先の特定をStrafachに依頼した。彼は、データがOnavoのIPアドレスに関連付けられた「vpn-sjc1.v.facebook-program.com」にルーティングされていることを確認した。さらに、MarkMonitorによると、このfacebook-program.comドメインはFacebookに登録されているという。このアプリは、App Storeを介さなくても自動的に更新され、PeopleJourney@fb.comへのメールアドレスがリンクされている。さらに、企業向け証明書は、2018年6月27日にFacebookによって更新されていることをStrafachが突き止めた。これは、同類のOnavo ProtectアプリをAppleが禁止すると発表した数週間後だ。

「Facebookが実際にどのデータを(彼らのサーバーにアクセスせずに)保存しているかを探るのは困難です。今わかっている唯一の情報は、アプリのコードに基づいてFacebookが何にアクセスできるかだけです。それを見ると、とても不安になります」とStrafachは言う。「彼らの返答や主張によると、非常に限られた一部のデータのみを留め、または保存しているとのことです。それは本当かも知れません。どれだけFacebookの言葉を信じるかによりますが。この状況を、できる限り大目に見るなら、Facebookは自分たちに許しているアクセス権限の大きさを、あまり深く考えていないということになります。……もしそうであれば、衝撃的なまでに無責任な話です」

Appleの規約に対する目に余る反抗

TechCrunchの質問にFacebookの広報担当者は、これは人々がどのようにスマートフォンや他社のサービスを使っているかを調査するプログラムだと答えた。広報担当者はこう話している。「他の企業と同じように、私たちも事業の改善に役立つものを特定するために、人々に調査への協力をお願いしています。この調査は、人々がモバイル機器をどのように使っているかをFacebookが知るためのものなので、私たちがどのようなタイプのデータを収集するか、そしてどのように参加していただけるかに関する情報を、できる限り多く提供しています。ここで得られた情報を他者に漏らすことはありません。また、参加者はいつでも脱退できます」

Facebookの広報担当者は、Facebook ResearchアプリはAppleの企業向け証明書プログラムに準拠していると主張している。その逆であることを示す証拠を提示しても、弁解はなかった。彼らによると、Facebookが最初のResearchアプリを公開したのは2016年とのこと。このプログラムはフォーカスグループと同じだとの論を展開し、NielsenやcomScoreも同じことをしていると彼らは主張したが、NielsenもcomScoreも、VPNのインストールやルートアクセス権を求めたりしない。Facebook Researchプログラムは、たしかにティーンエイジャーを募っているが、世界中の他の年代の人々も募っていると広報担当者は語る。OnavoとFacebook Researchとは別物だと言うが、コードがそっくりだとの指摘に対して、どちらも同じ部署が担当ているからだと認めた。

Facebookは、Appleの企業向け証明書の規約には違反していないと言うが、規約の条件には真っ向から矛盾している。規約によれば、開発者は「プロビジョニング・プロファイルは貴社従業員の間でのみ、また開発およびテストの目的により社内で使用するアプリケーションと連結されている場合のみ配布できる」ことになっている。さらに「貴社の顧客に対して使用、配布、またはその他の形で提供してはならない」となっている。ただし、従業員の直接の管理下、あるいは会社の敷地内であればその限りではない。Facebookの顧客は、企業向け証明書に裏付けされたアプリを従業員が管理していない状況で使わせているので、Facebookが違反しているのは明らかだ。

Facebookは、これほどあからさまにAppleに反抗すれば、両社の関係は傷ついてしまう。「このiOSアプリに含まれるコードは、禁止されたOnavoアプリの単なる稚拙な焼き直しであることを強く示していて、Facebookは、Appleの規約に直接違反するFacebook所有の企業向け証明書を使い、このアプリをAppleの審査を受けないまま、好きなだけ多くの人に配布しています」とStrafachは我々に話した。ONVというプレフィックスと「graph.onavo.com」というメンション、そして「onavoApp://」や「onavoProtect://」というカスタムURLを使う手法で、彼らはアプリをばら撒いている。「これはいろいろな意味で甚だしい違反です。Appleは、署名した証明書を無効にして、このアプリを使えなくするために迅速に行動してくれるよう望みます」

ティーンエイジャーがソーシャルネットワークを離れ、SnapchatやYouTubeやFacebookが買収したInstagramに流れていく今、その年代がスマートフォンで何をしているのかは、Facebookが大いに知りたいところだ。中国の動画音楽アプリTikTokの人気の秘密と、そこでシェアされている話題(ミーム)を研究したFacebookは、Lassoというクローンアプリを立ち上げ、LOLというミームをブラウズする機能を開発していたことは、TechCrunchが最初に伝えている。しかし、Facebookがメディアで散々な批判を受けている最中も、ティーンエイジャーのデータを欲しがる同社に批評家たちはイライラを募らせている。明日のFacebookの収支報告会では、重要な情報を収集できる別の方法はないのかと、アナリストたちは質問すべきだ。

昨年、Tim Cookは、もしCambridge Analyticaスキャンダルの渦中にいるMark Zuckerbergの立場に立たされたらどうするかと聞かれたとき、こう答えている。「私は、そんな状況は決して招きません。……実際、お客様を金に替えれば、またはお客様が私たちの製品だったら、莫大な利益が得られます。私たちは、それをしないために任命されています」。ZuckerbergはジャーナリストのEzra Kleinに、Cookのコメントに対する感想として「まったく口先だけだ」と話している。

Appleが警告を発しても、Onavo Protectを排除しても、Facebookはそれでも貪欲にAppleのiOSプラットフォームを使って競合他社のデータを集めまくっている。「App Storeの開発者で、これほどあからさまなAppleの規約違反を見たことがありません」と、Strafachは締めくくった。AppleがResearchプログラムを排除しても、Facebookは、このプライバシーにうるさい状況下でまた別の方法で我々の行動を調査するか、あるいは闇に消えるかするだろう。

追加取材:Zack Whittaker

[原文へ]
(翻訳:金井哲夫)

Instagramは禁止したはずのフォロワー販売サービスの広告をいまだに掲載

Instagramは以前、そのソーシャルネットワークにスパム広告を溢れさせるというビジネスで収益を得てきた。しかし同社は、今でも猫をかぶり、金を取って偽のフォロワーを増やしたり、顧客にフォローバックさせるために自動的に他人のフォローやフォローの取り消しを行うサービスに広告スペースを販売している。11月にはそうしたサービスを禁止する処置を何度も繰り返し、そのような活動を行うアカウントに警告を送ってきたにも関わらずだ。

TechCrunchが調査したところ、Instagramの規約に公然と違反して、偽のフォロワーの販売やフォロワーをおびき寄せるためのスパム広告の自動投稿をInstagram上で行うサービスが、まずは17件見つかった。これは明らかに、Instagramが自身のアプリやプラットフォームの監視を適切に行っていないことの証拠だ。そのような怠慢のおかげで利用者は、ボットや偽のアカウントが作り出すフォローや「いいね」に惑わされている。そうしたサービスから金を掻き集めてきたInstagramは、Instagramの通知の質を貶め、利用者の貴重な時間を奪っている。

我々の調査に反応してInstagramは、すべての広告を排除し、我々が報告した規約違反サービスのFacebookページとInstagramアカウントもすべて無効にしたと私に話した。ページもアカウントも、それ自体は違反ではないが、そこが流している広告が、FacebookとInstagramから追放されたということだ。しかしその翌日、TechCrunchは、同様のサービスの広告を2件、Instagramに発見した。また、フォロワー数を増やす規約違反のサービスに金を払っている企業5社も新たに発見した。

ここで大きな疑問がわく。Instagramは果たして、スパム業者から真剣にコミュニティーを守る気があるのかということだ。技術的にも人材的にも投稿内容をチェックする機能が備わっているだろうに、なぜ自社の規約に堂々と違反している広告や業者の存在を、一介のジャーナリストの調査から教えられなければいけないのか。Facebook傘下にあるInstagramというアプリの、ユーザー基盤とビジネスを拡大するために「迅速に動く」という信条は、どうやら自らの監視の目が届かないところまで走って行ってしまったようだ。

スパム業者を追え

私はこの調査を、GramGorillaというサービスのInstagramストーリー広告に悩まされたことをきっかけに、1カ月前に開始している。オールバックの格好をつけたセールスマンが、このサービスでどれほどのフォロワーを得たかをまくし立て、同じだけ金を払えば私も同じ数のフォロワーが付くと宣伝している。この広告は、Krends Marketingのウェブサイトにリンクされている。月に46ドルから126ドルを支払えば、1000から2500のInstagramのフォロワーを保証するというのだ。

このような広告の中には、フォロワーを直接販売しているところもあるが、大抵は偽アカウントだ。それでフォロワー数は増えるかも知れないが(その業者が摘発されて追放されなければの話)、そのフォロワーは自分が見せたいものに興味を示すわけでもなく、ビジネスの足しになるわけでもない。結果としてフォロワーの質は薄められ、投稿を実際に見てくれる人の数は減ってしまう。しかし、GramGorillaつまりKrendsなどのInstagramのフォロワーを販売するアプリには、もっと困った点があることを私は知った。

これらのいかがわしい業者に、自分のユーザー名とパスワードを与えてしまうということだ。しかも、関連する話題や個人情報も彼らに渡り、自動的に誰かをフォローしたり、フォローを解除したり、「いいね」を付けたり、知らない人のInstagramプロフィールに勝手にコメントを書き込んだりといった行為を許すことになる。その目的は、知らない人たちがそれを見て、好奇心を抱いたり、仲良しになりたいと思うようになり、フォロワーになってくれることを期待して通知を送ることにある。このようなスパム通知を大量に発信することで、大勢の知らない人たちが引っかかりフォローしてくれる。それで月額に見合うだけの体裁を保つというわけだ。

そこに私は腹が立った。FacebookもInstagramも、その他のソーシャルネットワークも、アクション、広告のビュー、毎日のユーザー数を増やすための裏技を教える通知を大量に送ってくる。しかし、彼らはそれが利用者の気分を損ね、ユーザーがすべての通知を非表示にしてしまうリスクを考えた方がいい。フォロワーを販売する業者は、Instagramが汚れようと、ユーザーが不快な思いをしようと、どうでもいいのだ。金が儲かりさえすればいい。彼らは、私たちの大切な共有資源における「コモンズの悲劇」の典型的な悪役だ。

そこから私は、スパム広告を記録するようになり、どれだけ多く存在することかと驚くことになった。間もなく、Instagramの広告ターゲティングと再ターゲティングのアルゴリズムが暴発し始め、Instagramの規約に違反している同類の企業からの広告が、私に意図的に送られてくるようになった。

私が最初に記録した、フォロワー販売とスパムの17のサービスは、Krends Marketing / GramGorillaSocialUpgradeMagicSocialmEZ-GrowXplod SocialMacurex、GoGrowthlyInstashop / IG ShopsTrendBee、 JW Social Media MarketingYR CharismaInstagrocerySocial SensationalSocialFuseWe Grow SocialIG WildfireGramflareだ。TrendBeeとGramflareは、Instagramがその活動を禁止したと発表した後も、ずっとInstagramで広告を出し続けていることがわかった。Instagramが取り締まりを行ったとされた後でも、これまでの調査では、禁止されているフォロワーの販売を行なっているサービスが見つかった。それは、FireSocialInstaMason/IWentMissingNexStore2019InstaGrowServantifyの5つだ。

悪いと知って井戸に毒を投げ入れる

私は、それらの企業はInstagramの規約に違反していることを知っているのか、スパムを配信することをどう正当化するのかを知りたいと思った。大抵のサービスは連絡先を伏せていて、顧客サポート用のメールアドレスだけが掲載されている。しかし私は、何人かの創設者に直接電話をかけることに成功した。

「私たちが行っていることは、明らかにサービス規約に違反しています」と、GoGrowthlyの共同創設者は、氏名の公表は拒否しながらも話してくれた。「私たちは彼らの無料のプラットフォームに便乗しているだけなので、彼らには何ひとつ利益はありません。Instagramは私たちを嫌っています。私たちは、顧客の位置情報に基づくプライベートなプロキシを利用しています。それが、あらゆる負担を軽減するための私たちの秘策です」というわけで、顧客のアカウントが停止されることはないのだそうだ。「Instagramとは慎重に足並みを揃えています。これは、SEO業者とGoogleとの関係に似ています。Googleは顧客に最大の結果を与えたいと考え、顧客は彼らに最大の結果をもたらしたいと考えている。じつに繊細なダンスなのです」と、Macurexの創設者Gun Hudsonは話していた。

EZ-Growの共同創設者Elonは、姓の公開を拒んだが、こう話してくれた。「(顧客は)いつも新しいものを求めています。最初はフォローといいねでした。今は、ストーリーに注目しています。Instagramが新しい機能を導入するごとに、私たちには、それを顧客にわかりやすく見せるという点で常に優位性があります」。EZ-Growは、広告費として1日500ドルをInstagramに支払っていて、それが、新しい顧客を開拓するための中核的な戦略なのだと彼は言う。SocialFuseの創設者Aleksandr(姓は非公表)は、InstagramとFacebookの広告費として1日数百ドルを使っていて、11月に彼の会社が行っているサービスの停止をInstagramが繰り返し訴えたときは、心配になったと言う。しかし、こうも話している。「もう停止は避けられないと覚悟したのですが、結局、何も起こりませんでした」

何人かの創設者は、スパム通知のサービスを擁護して、自分たちは少なくとも偽フォロワーを販売しているわけではないと抗弁している。自分のことは棚に上げて、MacurexのHudsonはこう言った。「やり方を間違えれば、利用者の楽しみを台無しにしてしまいます。そこには、下劣でスパム的な手法をとるマーケティング業者が群がっています。Instagramは、そうした業者の監視を続ける必要があります」。GoGrowthlyの創設者は私にこう明言した。「ターゲットを絞った交流によって、私たちは実際にコミュニティーにとって良いことをしています」と。またやはり姓の公表を拒んでいるWeGrowSocialの共同創設者Brandonなどは、競合他社であるSocialSensationalがフォロワーを売っていると告げ口したい風だった。

ただ、EZ-GrowのElonだけは正直だった。「ターゲティングは、適切な人を選ぶものなので……受け取った人は嬉しいはずです。スパムではありません」と話した後に、彼はあることに気がついた。「まあ、スパムと言えないこともないですが」

Instagramはついにスパム業者を追放

私たちの調査に応えて、Instagramの広報担当者は、私たちが発見した規約違反の広告やアカウントを停止する旨を正式に伝える長々とした声明文を発表した。その中で、Instagramは懸命に努力していると主張しているが、努力が足りないことも認めている。

スパム的なフォローや「いいね」やコメントを受け取って喜ぶ人はいません。Instagramでは、みなさまに本物の交流をしていただくことを何よりも重視しているため、このコミュニティーからスパム的な行いを締め出すよう懸命に努力しています。不正な「いいね」やコメントやフォロワーによってアカウントの人気を高めるサービス、およびそうしたサービスを宣伝する広告は、Instagramでは禁止しています。ここに示したサービスに対して私たちは、違反広告の削除、ページおよびアカウントの停止、ページへのさらなる広告掲載の禁止といった対策をとってきました。このうよな広告が、みなさまの目に触れる前に発見し、排除するためのシステムを私たちは複数導入していますが、私たちのプラットフォームに日々アップロードされる広告の数が膨大であるため、ときして、いくつかが網の目をくぐり抜けてしまことは避けられません。この件に関して、さらなる努力し、責任を持って改善を進める必要があることを、私たちは認識しています。

Instagramは、人気を高めるためのサードパーティーのアプリを利用しているアカウントを機械学習ツールを使って特定していると私に話してくれた。また、ユーザーが通知を受け取る前に、そのような不正な介入を排除していると主張している。そうしたサービスの効果をなくすことで、その魅力を失わせることができるとInstagramでは考えている。彼らは、公開される前に、画像、文章、そしてそれらすべての広告のリンク先のページを評価し、一部を人間の審査担当者に送るという自動化されたシステムを採用している。これにより、規約違反の広告のほぼすべてを捕まえることでき、そこをかいくぐったものは、ユーザーが通報できるようにしていると言う。

しかし、そうした広告や、それに関連するアカウントは、「フォロワーを集めよう」「Instagramのフォロワーを増やそう」「本物のフォロワー」「交流を拡大しよう」「承認を得よう」「交流の自動化」などといった、規約違反のサービスに強く結びついた言葉で満ち溢れている。そのことから、Instagramのこの問題に対する本気度が疑われる。彼らは最初から、スパムのボットや偽アカウントを見抜く、安価で、柔軟に規模の変化に対応できる技術的アプローチに頼ればよかっただけの話だ。行儀よく広告をスクリーニングしたり、人間の審査担当者を大勢雇い入れてネットワークを監視させる必要などなかったのだ。

そうした的外れなAIや技術的ソリューションに依存したがるのは、この業界の傾向のようだ。私が先日報告したように、子どもの性的虐待の画像はWhatsAppMicrosoft Bingで簡単に探すことができる。この2つの検索エンジンはどちらも、複雑なアルゴリズムでは見つけられない違法コンテンツを、常識で判断できる人間の審査チームが足りていないように思える。Instagramと同様、それらの検索エンジンも大変に儲かっている親会社の下にあり、規約を守らせるための予算はもっと使えるはずなのだ。

不正なサービスをInstagramから追放することは重要な一歩だが、もっと積極的にならなければいけない。ソーシャルネットワークとセルフサービス型の広告ネットワークは、あまりにも長い間、効率のいい金の成る木だとされてきた。そこから得られた利益は、今度はそれを取り締まるために振り向けられるべきだ。そうしなければ、我々の金や関心を盗み取る悪党どもを喜ばせるだけだ。

Instagramの未来に興味のある方は、この記事の著者Josh ConstineによるSXSW 2019の基調講演をご覧ください。Instagramの共同創設者Kevin SystromとMike Kriegerも、彼らが同社を去ってから初めて、ここで顔を合わせています。

 

Microsoft Bingは小児ポルノを見せるだけでなく、お薦めもしている(英語)

 

WhatsaAppが抱える暗号化された小児ポルノの問題(英語)

[原文へ]
(翻訳:金井哲夫)