Googleは、データ漏洩の可能性があることを受けて、今後10か月以内にサービスを停止すると宣言し、Google+ユーザー全員を驚かせた。
あまりにもお馴染みのシナリオとなっているが、この決定は、主張と反論の対象となっている。ウォール・ストリート・ジャーナル紙は本日、広告大手のグーグルが、人々のプライベートなグーグル+アカウントデータをアプリ開発者に公開してしまうプログラミング上のミスを隠蔽したと主張したが、これはすべて、この広告大手が、失敗を認めることによって生じるPRや規制の影響に対処したくないためだった。
一方、Googleは、この脆弱性は未利用のAPIバグであり、外部の誰にも発見される前に社内で発見・修正されたと説明している。いずれにせよ、Google+を閉鎖するのはネットユーザーが利用していないためだ。ただし、企業は社内チャットチャネルとして引き続きサービスを利用できる。
Googleエンジニアリング担当副社長ベン・スミス氏の本日の声明によると、このコーディングミスは「Project Strobe」と呼ばれるAPIレビューで発見されたとのことです。バグが修正される前は、Google+アカウントに接続されたアプリケーションがこのAPIを悪用し、プロフィールの非公開部分にアクセスできた可能性がありました。具体的には、Google+アカウントにリンクされたサードパーティ製アプリケーションは、「ユーザーと共有されているものの、公開設定されていないプロフィール項目にアクセス可能」でした。
面白いことに、Google は長年にわたり、G+ のアクティブ ユーザー数の少なさを PR で軽視してきたが、今では、実質的に誰もこのソーシャル ネットワークを使用していないため、すべてうまくいくだろうと宣伝しようとしている。
— ラットキング(@MikeIsaac)2018年10月8日ブラックコメディ:Google+の広報担当者は、ネットワークの異常な利用数について書くことを思いとどまらせようと5年間を費やした
みんなのデータが漏洩した今、Google は誰もそのデータを使用していないことを人々に伝えることに飽き飽きしている https://t.co/iGocHG7vpA
英国高等法院、Googleに対するiPhone Safariのプライバシー訴訟を棄却
続きを読む
スミス氏によると、このソフトウェアのバグが悪用された場合、「氏名、メールアドレス、職業、性別、年齢」のみが漏洩し、「Google+の投稿、メッセージ、Googleアカウントデータ、電話番号、G Suiteのコンテンツ」は漏洩しないという。同幹部は、438個のアプリがこのAPIのセキュリティホールを悪用した可能性があり、その場合50万アカウントが影響を受けると予想されていたものの、Googleの調査ではサードパーティの開発者がこのバグに気づいていたという「証拠」は見つからなかったと指摘した。
WSJの記事は匿名の情報源を引用し、Googleが「規制当局の監視」と「評判の失墜」を恐れたため、バグを公に認めないことを選択したと伝えた。
Googleの回答:「当社のプライバシー&データ保護部門は、この問題を検討し、関連するデータの種類、通知対象となるユーザーを正確に特定できたかどうか、不正使用の証拠があったかどうか、そして開発者またはユーザーが対応策として講じられる措置があったかどうかを検討しました。今回のケースでは、これらの基準はいずれも満たされませんでした。」
APIの失態にもかかわらず、Googleは、ユーザー獲得率とエンゲージメントの低さがGoogle+の一般向けサービス終了の決定につながったと述べた。スミス氏によると、このサービスは消費者の採用率とアプリへのエンゲージメントの両面で失敗しており、「Google+のユーザーセッションの90%は5秒未満です」という。
情報セキュリティの専門家の中には、Google側に立つ者もおり、セキュリティ侵害の証拠がある場合にのみ情報開示が必要だと主張している。そうでなければ、彼らの目には単なるバグ修正に過ぎない。セキュリティとプライバシーの研究者であるLukasz Olejnik氏は、このバグは「発見され修正された」ため、今回の件を「過大評価すべきではない」と述べた。
もう一人のセキュリティ研究者、ライアン・サッターフィールド氏はさらに批判的だ。
Google+のバグに関するこのWSJの記事は、多くの点で事実誤認です。1
— ライアン・サッターフィールド (@I_am_ryan_S) 2018年10月8日
. 誰も使っていない欠陥を公開する必要はありません!
2. 誰も使っていないし、誰も発見していないのに、なぜこの記事が出てくるのでしょうか?
3. 恐怖を煽るのはやめてください!https://t.co/s3EpED7UGC
一方で、GoogleのProject Zeroチームは、セキュリティ面で不十分な組織やプロジェクトを公然と批判し、実際に悪用されたかどうかにかかわらず、製品の脆弱性を指摘しています。これは、テクノロジーと生活に対するGoogleの傲慢な「言うは易く行うは難し」という姿勢のもう一つの例と言えるかもしれません。もしこれがProject Zeroによって発見されたFacebookのバグであれば、チームによって公開文書化され、誰もが目にするはずでした。しかし、Googleは自らの失態を隠蔽しました。
住宅改修
Googleのスミス氏は、プライバシー強化を謳う数々の変更点についても概説した。これには、Googleアカウントの権限設定の細分化、Gmailアカウントにアクセスできるアプリの制限、Androidの通話履歴やテキストメッセージへのアクセス制限などが含まれる。
最も重要なのは Gmail アクセスの変更です。詳細については、以下を参照してください。
最後に、Android の連絡先 API では、サードパーティ アプリが連絡先とのやり取りにアクセスできなくなります。®
