Apple、FacebookのResarchアプリを規約違反のVPNとして削除、Googleにも同様の疑惑

TechCrunchのスクープ記事を受けて、Facebookが問題のFacebook Researchアプリをシャットダウンする前に、AppleはこのVPNアプリのiOS版をブロックした。

Researchアプリは、ユーザーに月額20ドルを支払うのと引き換えにスマートフォンを通過するすべてのデータをモニターできるルートアクセスを得ていた。またAppleはTechCrunchの取材に対し、「昨夜Facebookの会社としてのエンタープライズ認証を無効にした」と答えた。

TechCrunchはFacebookのResarchアプリがAppleのApp Store利用約款に反している ことを報じた。App Storeにおけるエンタープライズの特例は企業がカスタムアプリを利用するために社員に限定して配布することを目的としており、プライバシーデータを手数料を得てサードパーティーに提供するのは規約違反だ。Facebookは昨夜「iOS版のResearchアプリをシャットダウンした」と発表したが、Appleに強制されたことについては触れていない。

われわれの調査によれば、Facebookは2016年以降、iOSとAndroidでアプリのデベロッパーにベータテスト結果を販売するプログラムを運営してきた。このプログラムは最近Research Atlasという名称になっている。FacebookはInstagramとSnapchatを通じて13歳から35歳のユーザー(うち5%がティーンエージャー)をResearchプロジェクトのメンバーとして募集した。

Facebookはこれらのユーザーに最大月20ドルと紹介料を支払い、アプリに同梱のVPNを通じて個人情報を買い取っていた。VPNのインストールにより、Facebookはユーザーのスマートフォンへのルート権限を得ており、ユーザーのWebブラウズ履歴、デバイスにインストールされているアプリ一覧、利用履歴から暗号化されたトラフィックを復号化することまで可能になっていた。Facebookはユーザーに対してスクリーンショットやAmazonの注文履歴までの送信するよう依頼していた。

昨年8月にAppleがVPNを利用して個人データを収集するアプリを禁ずるという方針に転換したため、Facebookは今回のResearchに似たOnavo Protectアプリを取り下げることを余儀なくされた。しかしFacebookはプロジェクトを継続し、ほぼ同様の機能のResearchアプリを提供し続けた。TechCrunchではセキュリティー専門家のWill Strafachに依頼してFacebook Researchアプリを詳細に調査してもらった。その結果、Onavo Protectに用いられたのとまったく同じコードが大量に存在することを確認した。FacebookはVPNの利用がエンタープライズアプリに限って許可される特例を利用してVPNによるデータ収集を行っていたものとみられる。

情報源によれば、AppleはFacebookのエンタープライズ認証をすべて取り消した。これにはFacebookやInstagramの社内テスト用ベータ版も含まれているという。これには日常社内で利用する生産性ツールも多数含まれていたためFacebook社内では混乱が広がっており、業務や開発に差し支えているという。昨日の記事でわれわれはAppleがこうした強硬な措置を取る可能性を指摘した。生産性の上でFacebookの3万3000人の社員が被った損害は大きいだろう。

[アップデート: FacebookはTechCrunchに対してAppleの措置で多数の部内利用アプリが阻害されており、Appleに対して復旧を要求していることを明らかにした.]

Facebookの本体アプリはiOSでも正常に作動している。一方、Appleのエンタープライズ認証の特定に違反してユーザーデータを収集していたのはFacebookだけではなかった。TechCrunchはGoogleのScreenwise Meterも同様だと発見した

今朝、AppleはTechCrunchに対し、Facebookが自発的に取り下げる前にResearchアプリの登録を解除したことを確認し、 強い口調でFacebookの行動を非難した。

一方Facebookは以下のように反論している。

重要なのは、この市場調査アプリの本質が無視されている点だ。一部の報道とは異なり、アプリに何も秘密な点はない。Facebook Researchアプリという名前のとおりだ。このアプリは密かにスパイなどしていない。収集しているのはデータの提供に関してユーザーから明示的に同意を得た情報だけだ。われわれは調査への参加に対して報酬を支払っている。最後に ユーザーの5%弱を占めるティーンエージャーについては書式によって両親の同意を得ている

TechCrunchはこれは理由のない非難だと考える。昨夜われわれが記事にした時点でResearchアプリがVPNを利用していることを事前に明確に示していなkった。またサードパーティーのデベロッパーを通じた場合、ユーザーは登録プロセスを始めるまでFacebookが関与していることを知らされなかった。なるほどデータ収集のプロセス、範囲についてははっきり説明されていたが、VPNをインストールした場合Facebookがどれほどのデータを収集することができるかを詳しく説明していなかった。なるほどティーンエージャーのユーザーは一部だったかもしれないが、プライバシーに関するデータ収集が問題になっている場合、ティーンエージャーだからといって報道から除外する理由にはならないと考えている。【略】

今回の事件で年来緊張していたFacebookとAppleの関係はますます悪化することが予想される。ts. AppleのCEO、ティム・クックは繰り返しFacebookのデータ収集をプライバシーの侵害だと非難してきた。逆にマーク・ザッカーバーグは「われわれは無料で誰もが使えるサービスを提供している。Appleのように高価で一部の人間しか使えないデバイスを販売しているわけではない」と反論していた。関係の悪化でFacebookはApp Storeでの表示順位の格下やiOSとの統合でさまざまな不利益を被る可能性がある。またティム・クックからの非難も激しくなるだろう。ともあれFacebookがAppleの規約に違反してユーザーのプライバシーに属するデータを収集していたのはいわば現行犯だった。

原文へ

滑川海彦@Facebook Google+

投稿者:

TechCrunch Japan

TechCrunchは2005年にシリコンバレーでスタートし、スタートアップ企業の紹介やインターネットの新しいプロダクトのレビュー、そして業界の重要なニュースを扱うテクノロジーメディアとして成長してきました。現在、米国を始め、欧州、アジア地域のテクノロジー業界の話題をカバーしています。そして、米国では2010年9月に世界的なオンラインメディア企業のAOLの傘下となりその運営が続けられています。 日本では2006年6月から翻訳版となるTechCrunch Japanが産声を上げてスタートしています。その後、日本でのオリジナル記事の投稿やイベントなどを開催しています。なお、TechCrunch Japanも2011年4月1日より米国と同様に米AOLの日本法人AOLオンライン・ジャパンにより運営されています。