FacebookとGoogleの調査アプリ問題の要点解説

FacebookとGoogeは、先週、社内専用の証明書を不正に使用したことを突き止めたTechCrunchの2回にわたる調査により、Appleと共に煮え湯に放り込まれることとなった。FacebookとGoogleは証明書を取り消され、終日のアクセス停止措置に追い込まれた。

いったい何が起きたのか、混乱されている方もおいででしょう。ここに、私たちが知っておくべき事件のすべてを解説しよう。

そもそもの始まりと問題の発生

先週の月曜日(日本語版は1月31日)、我々は、企業内の従業員専用であることを条件に、AppleのApp Storeを介さず配布が許されるアプリのための企業向け証明書を、Facebookが悪用していたことを突き止めた。Facebookはその証明書を使って社外にアプリを配布していたのだ。これはAppleの規約に違反する。

このアプリは「Research」という名で知られ、デバイスに出入りするすべてのデータのアクセス権を要求するという、前代未聞のアプリだ。これには、ユーザーがもっとも知られたくない個人的なネットワークデータも含まれる。このアプリをインストールすると、Facebookからユーザー(13歳から19歳の若者を含む)に月20ドルの報酬が支払われる。しかし、実際にどのデータが吸い取られていたのか、またその目的は明らかにされていない。

このアプリは、ユーザーのデータをあまりにも集めすぎるという理由で、昨年、AppleのApp Storeでの配布を実質的に禁止されたアプリの体裁を変えただけのものだと判明した。

App Storeから排除し、二度と開けないように無効にしたアプリを、企業向けとして特別に発行された証明書を悪用し再び配布しているFacebookに、Appleは激怒した。しかしFacebookは、他の従業員専用アプリを使用するために、Appleが証明書を再発行するまで事実上オフラインで、その同じ証明書を使い続けている。

そしてGoogleも、ほぼ同じことをScreenwiseアプリで行なっていたことがわかった。これもまた、Appleによって配布が禁止された

企業向け証明書の何が問題で、それは何をするものなのか?

Apple用のアプリを開発するときは、その規約に従う必要があり、Appleは、開発者からの明示的な同意を得ることになっている。

規約の主眼は、アプリがAppleの入念な審査を経て安全であると確認された証拠として、必ずApp Storeで配布されるようにすることにある。ただし、企業内アプリの開発に関しては例外を設けている。社内目的により従業員のみが使用するアプリの開発は、その限りではない。問題のアプリは、FacebookとGoogleが企業内アプリの開発用として登録し、Appleの開発規約に同意している。

Appleが発行する企業向け証明書は、内部で開発したアプリの配布を許可している。これには、一般に配布するアプリをテストの目的で社内配布することも含まれる。しかし、この証明書では、社外の一般消費者に使わせることは許可されていない。一般のユーザーはApp Storeからダウンローロする決まりになっているからだ。

ルートアクセス権限とな何か、なぜルートアクセスがそんなに問題なのか?

FacebookのResearchもGoogleのScreenwiseも、AppleのApp Stroe以外の場所から配布されていたので、ユーザーは自分の手でインストールする必要があった。これを「サイドローディング」と言う。ユーザーは、煩雑な手順を踏んでアプリをダウンロードし、FacebookでもGoogleでも、企業内開発者のコード署名証明書を開いて信用する旨を伝えて、初めてアプリを実行できる。

どちらの場合も、アプリをインストールした後、さらにもうひとつの設定手順が要求される。いわゆるVPNプロファイルだ。ユーザーのデバイスから流れ出るすべてのデータを、専用のトンネルを使って、どちらのアプリをインストールしたかによってFacebookまたはGoogleに送られることを許可する手続きだ。

ここで、FacebookとGoogleとの違いが現れる。

Googleのアプリは、収集したデータを調査目的でGoogleに転送するが、暗号化されたデータにはアクセスできない。たとえば、HTTPSで保護されたすべてのネットワーク通信でのコンテンツだ。App Storeで配布されているほとんどのアプリもインターネットのウェブサイトも、これによって保護されている。

ところがFacebookは、もっと深く手を入れてくる。スマートフォンの「ルート」レベルのアクセスの自由を許可するための、もう一段階の手続きを要求してくるのだ。Facebook Researchのルートアクセス権限を許可すれば、スマートフォンから発せられる暗号化されたデータもすべてFacebookに開示されることになる。いわゆる「中間者攻撃」だ。これによりFacebookは、私たちのメッセージ、メール、その他スマートフォンから発せられる細かいデータを選り分けることが可能になる。ただし、証明書ピンニング(自分のもの以外の証明書を拒否する)を使用したアプリだけは守られる。Appleの「メッセージ」、Signal、そして終端間の暗号化ソリューションなどがこれに該当する。

Facebook Researchアプリはルート証明書アクセスを求めてくる。これにより、Facebookはスマートフォンから発信されるデータをひとつ残らず回収できる。

 

Googleのアプリは暗号化された通信を覗くことはできないかも知れないが、それでも規約を守っていないため、単独に所有していた企業向け開発コード署名証明書は無効にされた。

FacebookはiOSのどのデータにアクセスしていたのか?

それを確かめるのは難しいが、Googleよりも多くのデータにアクセスしていたことは確かだ。

Facebookでは、そのアプリは「人々がモバイルデバイスをどのように使っているかを理解する」ことを助けるものと話していた。実際、ルートレベルでは、スマートフォンから発信されるあらゆるデータにアクセスできたはずだ。

我々の記事に協力してくれたセキュリティー専門家のWill Strafachは、こう話している。「もしFacebookが、ユーザーに要求した証明書の効力で最大レベルのアクセスを可能にした場合、次のようなデータを継続的に収集できるようになります。ソーシャルメディア・アプリでのプライベートなメッセージ、インスタントメッセージ・アプリでのチャット(互いにやりとりした写真や動画も含まれる)、電子メール、ウェブ検索、ウェブ閲覧行動、位置情報を追跡するアプリがいずれかでもインストールしてあれば、そこからリアルタイムの位置情報もわかります」

注意して欲しいのは、ここで話しているのは「脱獄」によるスマートフォンのルートアクセスなどとは違う。ネットワーク通信のルートアクセスだ。

これらが一般の市場調査と技術的に異なる点は何か?

公平を期して言うなら、市場調査アプリを使っているのはFacebookやGoogleだけではない。NielsenやcomScoreといった企業も同様の調査を行なっている。しかし、VPNをインストールさせたり、ネットワークのルートアクセスの許可を求めるような企業はない。

いずれにせよ、Facebookはすでに私たちのデータをたんまり集めている。Googleもしかり。これらの企業が、他の人たちとのやりとりに関するデータだけを知りたいだけであったとしても、誰と話しているのか、何を話しているかを集中的に聞き出そうと思えばできる。しかし、いくつものセキュリティー上の問題や個人情報漏洩などの事件を起こして爆発的なスキャンダルとなったにも関わらず、去年はその対処にぜんぜん力を入れてこなかったFacebookにとっては、大きな問題ではないのかも知れない。

Facebookスキャンダルへの今年の対応に「満足」するMark Zuckerberg(本文は英語)

スマートフォンの持ち主が話す相手のデータも回収されるのか?

FacebookもGoogleも可能だ。Googleの場合、相手のデータも含め、暗号化されていないものは回収できたはずだ。Facebookの場合はさらに強力だ。他の人と交わしたあらゆるデータがFacebookのアプリによって回収された可能性がある。

どれくらいの人が影響を受けたのか?

はっきりとはわからない。GoogleもFacebookも、ユーザーの数については明らかにしていないからだ。両方で数千人程度だろうと思われる。アプリの停止の影響を受けた従業員は、Facebookで3万5000人以上、Googleで9万4000人以上だ。

Appleが証明書を無効にしたとき、FacebookとGoogleの社内用アプリが使えなくなったのはなぜか?

Appleのデバイスは、誰が持っていようとAppleがコントロールできるようになっている。

Appleは、Facebookのルート証明書には手が出せないが、Appleが発行した企業向け証明書は操作が利く。Facebookの活動が露呈した後にAppleはこう言っている。「企業向け証明書を使って開発されたアプリを消費者に配布すれば、例外なく証明書は無効になります。私たちのユーザーとそのデータを守るために、私たちはそれを履行しました」。つまり、Facebookの企業向け証明書に基づくあらゆるアプリ(社内で使用していたものも含め)が、ロードできなくなるということだ。これは、Facebookの公開前のビルド、開発中のInetagramやWhatsAppに止まらない。同社の旅行アプリや協働アプリも使えなくなったと報告されている。Googleの場合は、仕出しやランチのメニューアプリもダウンしたという。

Facebookの社内アプリは、およそ1日ダウンしていた。Googleの社内アプリが止まっていたのは数時間だ。しかし、FacebookもGoogleも、一般向けのサービスに影響はなかった。

この件を通して人々はAppleをどう見ているか?

現在、FacebookとGoogleを大歓迎している人はいないようだが、Appleもあまり良くは思われていない。Appleは、ハードウエアを販売しても、ユーザーの個人情報を集めたり、それを広告に利用したりはしない。それはFacebookやGoogleと違うところだ。しかし、Apple製品を使う消費者や企業に対するAppleの権力の大きさを不快に思う人たちがいる。

FacebookとGoogleの企業向け証明書の失効と、それによるアプリの機能停止は、Apple内部にも悪影響が伝搬した。

アメリカでは合法なのか? ヨーロッパのGDPRではどうなのか?

少なくともユーザーの同意を得ているので、アメリカ国内では合法だと、Facebookは言っている。さらに、13歳から19歳のユーザーは保護者の同意が必要だと同社は主張しているが、それは簡単に偽装できるし、検証もされていない。しかも、実際にどれだけの個人情報が吸い取られるのかを、同意した子どもたちが完全に理解しているかを確かめる方法がないことも、まったくもって明らかだ。

子どもの同意を浮き彫りにしたFacebookのVPNアプリ(本文は英語)

これは、規制上の頭の痛い問題に発展しかねない。「ヨーロッパの子どもたちがFacebookの調査に参加したとすると、ヨーロッパの一般データ保護規制(GDPR)から、また別の猛攻撃を受けることになる。さらに、その地区のプライバシー制度に定められた『プライバシーバイデザイン』の条件にそぐわず、受け入れられないと地元当局が判断すれば、多額の罰金が課せられる」とTechCrunchのNatasha Lomasは書いている。

証明書の不正利用者は他にいないか?

この問題の当事者はFacebookとGoogleだけだなどと思ってはいけない。規約に違反している企業がたくさんあることが判明している。

ソーシャルメディアで見受けられるそうした企業には、ベータプログラムに企業向け証明書を使っているSonos、同じことをしている金融アプリのBinance契約者の車両のためのアプリに利用しているDoorDashなどがある。これらの企業の企業向け証明書もAppleが無効にするかどうかは定かではない。

次はどうなる?

誰でも想像できることだが、こうした問題が今すぐ解決するとは思えない。

Facebookはヨーロッパでだけでなく、家庭でも反発を食らうだろう。Mark WarnerとRichard Blumenthalの2人の米国上院議員は、「十代の若者を盗聴した」として、すでにFacebook糾弾の呼びかけを行っている。Blumenthalの主張が通れば、米連邦取引委員会も調査を始めるだろう。

Warner上院議員はZuckerbergに市場調査のルールに従うよう要求(本文は英語)

[原文へ]
(翻訳:金井哲夫)

Apple、スパイ活動制裁の後Facebookの社内アプリを復活

Appleは制裁措置としてソーシャルネットワークの企業証明書を無効化した。無効化されたのはFacebookのResearchアプリだけでなく、職場コラボレーション、ベータテスト、さらにはランチメニューやバスの時刻アプリなど、社内iOSアプリすべてが使えなくなった。その結果昨日の午前Facebookのオフィスはカオスになった。そして今日、AppleはFacebookのお仕置きを解き、企業証明書を復活させた。これで社員たちはすべてのオフィスツールとFacebook, Instagramの公開前テストバージョンを再び利用できるようになった。ランチメニューも。

Facebook広報はTechCrunch宛に以下の声明を発行した:「当社は企業証明書を取得し、社内アプリケーションの有効化が可能になった。現在社内アプリを実行するプロセスを進めているところだ。なお、本件は当社の消費者向けサービスには影響を与えていないことを念の為付け加える」

一方、TechCrunchのフォローアップ記事によると、Googleもユーザーに金を払って利用状況をのぞき見するScreenwise Meterと呼ばれる「市場調査」VPNアプリで、 規約違反していた。本誌がGoogleとAppleに情報を伝えたところ、Googleは直ちに謝罪してアプリを削除した。しかし、おそらく一貫性を保つために、昨日AppleはGoogleの証明書を無効化し、社内向けiOSアプリの動作を停止させた

Googleの社内アプリは現在も停止している。大量の社員がiOSを使っているFacebookと異なり、Googleには自社製Androidプラットフォームを利用しているユーザーが数多くいるため、動作停止による問題はマウンテンビューの方がメンロパークよりも小さいかもしれない。「現在Appleと協力して一部の社内iOSアプリの一時的中断を修正中であり、まもなく解決する見込みだ」とGoogle広報は言った。Appleの広報担当者は次のように語った、「現在われわれはGoogleが企業向け証明書を一刻も早く回復できるよう協力して作業している」。

TechCrunchの調査によると、Facebook Researchアプリは、ユーザーの端末に企業証明書とデータ収集を可能にするVPNをインストールするだけでなく、Facebookが通信に介入したり暗号解除まで可能にするルートネットワークアクセスも要求していた。同社は13~35歳のユーザーに月額10~20ドルを支払ってアプリを実行させることで、買収あるいは模倣すべき相手を知るための競合情報を集めようとしていた。Facebook ResearchアプリにはOnavo Pretechに関するコードが多量に含まれていた。これは昨年8月にAppleが禁止してFacebookに回収を求めたアプリだが、Facebookはその後もデータ収集を継続していた。

本誌が最初にFacebookに問い合わせた時、同社はResearchアプリもAppleの監視をかいくぐった企業証明書もAppleの規約に沿っていると主張した。7時間後、FacebookはResearchアプリのiOS版を停止すると発表した(Android版は規則が緩いため現在も動作中)。またFacebookはこの件に関して「一切秘密はない」と言って本誌記事の論調に異論を述べた。しかし、その後TechCrunchは、Facebook Researchプログラムが、ユーザーがアプリについて口外すると法的措置をとると脅していたことを証明する会話を発見した。われわれにはかなりの「秘密」に思える。

そして昨日(米国時間1/31)の午前、Facebookは自発的にアプリを引き上げたのではなく、すでにAppleがFacebookの企業証明書を無効化していたため、Researchアプリや社内ツールが使用不能だったことがわかった。Appleの以下の厳しい声明を発表し、今日それがGoogleにも適用された。

当社は企業デベロッパープログラムを組織内でアプリを社内配布することのみを目的として制定した。Facebookはこの資格を利用して、データ収集アプリを消費者に配布していた。これはAppleとの契約の明確な違反である。企業証明書を使って消費者にアプリを配布したデベロッパーは誰であれ証明書を剥奪される。当社はわれわれのユーザーとそのデータを保護するために、本件でもそれを実行した。

AppleはFacebookどGoogleを監視するプライバシー規制自警団のようだ、とThe VergeのCasey NewtonThe New York TimesのKevin Rooseは書いている。いずれも競合相手であることを踏まえると過大な権力といえるかもしれない。しかしこのケースでFacebookとGoogleは、ティーンエージャーを含むiOSユーザーのデータを大量に収集するために、Appleの規約をあからさまに破っている。これはAppleにそれらの市場調査アプリを停止する合理的理由があることを意味している。社員用アプリを停止したことも、同じ企業証明書を利用していたための巻き添え被害ともいえるし、規約違反に対する付加刑と見ることもできる。問題になるとすれば、Appleが規約の境界を逸脱したときだ。しかし今のところ、人々の目はAppleがどのように規則を適用するのかに集まっている。それがユーザーのためであれ、ライバルを叩くためであれ。

[原文へ]

(翻訳:Nob Takahashi / facebook

Apple、Googleの証明書乱用を受け社内iOSアプリを使用禁止に

Appleは、Googleが社内向けiOSアプリを企業ネットワーク上で配布することを禁止した。TechCrunchの調査によって検索の巨人による認証乱用が発覚したためだ。

「現在Appleと協力して一部の社内iOSアプリの一時的中断を修正中であり、まもなく解決する見込みだ」とGoogle広報は言った。Appleの広報担当者は次のように語った、「現在われわれはGoogleが企業向け証明書を一刻も早く回復できるよう協力して作業している」。

TechCrunchは1月30日の記事で、Googleがスタッフ向け社内アプリを開発するためにAppleから発行された証明書を、Screenwise Meterという消費者向けアプリに使用してAppleの規約に違反していることを報じた。そのアプリは、ユーザーのiPhoneから大量のデータを調査目的で収集するために作られていたが、特別な証明書を使うことで、GoogleはユーザーがAppleのApp Storeを回避することを可能にしていた。その後Googleは謝罪し、そのアプリは「Appleのデベロッパー・エンタープライズ・プログラムの下で運用されるべきではなかった。これは間違いだった」と語った。

本件は、今週本誌が報じたFacebookも調査アプリで社内専用証明書を乱用していた(若者に金を払ってウェブ利用状況を吸い上げていた)案件に続くものだ。

これがGoogleにどれほどのダメージを与えるのか現時点では明らかになっていない。Screenwise MeterがiPhoneで使えなくなるだけでなく、検索の巨人が証明書に頼っているあらゆるアプリに影響を及ぼすことを意味している。

The Vergeによると、多くのGoogle社内アプリも動作を停止している。これは、Googleマップ、Hangouts、Gmailなど消費者向けアプリの初期あるいはプレリリース版や、通勤アプリなどの社員専用アプリも動作しなくなるということだ。

FacebookもAppleの介入後に同様の非難を浴びた。本誌は、Appleの中止命令が下された後、FacebookとInstagramアプリの未公開版やテスト専用版の多くが動作しなくなったことを報じた。その他のオフィス・コラボレーション、トラベル、社員食堂メニューなどの社員専用アプリも同様だった。消費者がAppleのApp Storeからダウンロードしたアプリが影響を受けることはない。

Facebookには3万5000人以上、Googleには9万4000人以上の社員がいる。

Appleが新たな「社内専用証明書」をいつ(果たして?)発行するのかは不明だが、新たに、より厳格なルールが付加されることはまず間違いない。

[原文へ]

(翻訳:Nob Takahashi / facebook