多くの人がそうしているように、Pokémon GoのサインインにGoogleを使うと、人気のゲームは何らかの理由により、あなたのGoogleアカウントの最大アクセスレベルを自身に与える。つまり、あなたのメールや位置履歴…等あらゆるものを見ることができる。なぜそれが必要であり、なぜユーザーは知らされていないのか?
見つかったのはスタート直後のことで、RedOwlのAdam Reeveが、Googleでログインした時アプリが何かへんなことをしていないかをチェックしようとした時だった。調べてよかった!(あなたもここでできる)。
もちろん、Go は様々な許可を要求する ― しかしその理由は想像できる。正確な位置やカメラやモーションセンサーへのアクセス、SDカードの読み書き等々、そしてもちろん、Pokéballやeggがなくなった時の課金も。
しかし、Googleアカウントのフルアクセス? それはChromeのようなプラットフォームレベルのアプリに与えられるレベルだ。Googleがそう説明している:
フルアカウントアクセスを与えられたアプリケーシヨンは、あなたのGoogleアカウントのほぼあらゆる情報を読み書きできるようになる(ただしパスワードの変更、アカウントの削除、あるいはGoogleウォレットで支払うことはできない)。
この「フルアカウントアクセス」の特権は、全面的に信頼する、自分のパソコンやスマートフォン、タブレット等にインストールされているアプリにのみ与えるべきである。
第一に、何故Pokémonゲームがアカウントのフルアクセスを必要とするのか? 第二に、なぜユーザーはこれが与えようとしているレベルであることを警告され、考え直すチャンスを与えられないのか?第二に、なぜGoogleは起こっていることについて例えば、「架空の生き物を戦わせるゲームに、GmailやGoogleドキュメントの機密書類のアクセス権を与えてもいいですか?」と尋ねないのか?(ちなみに、[開発元である]Nianticの前のARゲーム、Ingressは一部のアクセスしか要求していない)。
本誌では回答を求めて問い合わせているが、同時に読者にも協力してもらえるミステリーがある。フルGoogleアカウントアクセスは、起きる時と起きない時がある。
例えば、Android 5.2および6.0がインストールされた2台の端末にゲームをインストールしたところ、何のアクセスも要求されなかった(2要素認証を聞かれなかったのはそのためだろう)― しかしある同僚のやはり6.0が動いているスマホは、すぐにフルアカウントアクセスを要求された。また、iPhoneでも起きる時と起きない時があるようだ。何かパターンはあるのだろうか?
Pokemon Trainerアカウントでサイアップすることもできるが、サーバーが一杯で殆どの人はGoogleを使わざるを得ない。
念のために言うが、われわれはNianticやNintendoが、あなたのメールやGoogle Driveのファイルを盗もうとしていると示唆しているわけではない。しかし、そもそもこのアクセスを要求する理由がなく、変更する方法もない(拒否するとゲームはクラッシュするかサインアウトさせられる)。おそらく一番問題なのは、必須でありかつユーザーに知らせれないことだ。
もしかすると、端末とOSの組み合わせによって、何らかの位置情報か支払い情報を得る方法を見つけることができず、非常手段としてデベロッパーがアカウント全体を要求したのかもしれない。
[原文へ]
(翻訳:Nob Takahashi / facebook)