更新:大ヒットシューティングゲーム「フォートナイト」のメーカーであるEpic GamesのCEOは、自社のソフトウェアのセキュリティホールを公開したとしてGoogleを激しく非難し続けている。
ティム・スウィーニー氏は、金曜日にこの広告大手が脆弱性を公表したことを「無責任」だと呼び、週末から月曜日にかけて怒りのツイートを連続して投稿し、検索王の偽善を非難した。そして、今回の脆弱性の公表は、エピック社が自社のゲームをグーグルの公式プレイアプリストア以外でAndroidユーザーに提供することを決定したことに対する報復であると示唆した。
このバグに関する問題追跡ウェブページによると、Googleは8月15日にEpicのFortniteインストーラーが一般公開されるとすぐにセキュリティチェックを実行した。発見された欠陥は、携帯電話上の別の悪意のあるアプリによって悪用され、ゲームのインストールプロセスを乗っ取られ、代わりにスパイウェアやその他の怪しいコードがインストールされる可能性がある。
GoogleはEpicにこの問題を報告し、Epicは直ちに修正パッチの作成に着手し、翌日には公開しました。しかし、ここで論争が勃発します。Googleに修正パッチを公開したことを通知してから2時間後、EpicのセキュリティチームはGoogleに対し、問題報告の公開を90日間延期するよう要請したのです。
90日間の猶予は一般的な慣行であり、Google独自のガイドラインにおけるバグ開示の標準となっています。しかし、Googleのガイドラインには、「90日が経過するか、パッチが広く公開された後、バグレポート(コメントや添付ファイルを含む)は一般に公開されます」という規定もあります。
GoogleのセキュリティチームはEpicの90日間の要請を拒否し、パッチ公開から1週間後に情報を公開しました。GoogleがEpicに詳細を公開することをいつ伝えたかは不明ですが、問題追跡ページにはEpicに直接送信されたメールが記載されています。
制限なし
「メールでお伝えした通り、フォートナイトインストーラーのパッチ版が7日間利用可能になったので、Googleの標準的な情報開示方法に従ってこの問題の制限解除を進めていきます」と、やり取りが公開される直前に投稿されたコメントには記されている。
GoogleにEpicへのメールの送信時期と、90日間の延期要請を却下した理由について問い合わせており、回答が得られ次第この記事を更新します。しかし、EpicのCEOの回答から判断すると、予想外だったと推測できます。
「Androidはオープンプラットフォームです。私たちはAndroid向けのソフトウェアをリリースしました。Googleがセキュリティ上の欠陥を発見した際、私たちは文字通り24時間体制で修正し、アップデートをリリースしました」とスウィーニー氏はツイートし、「ここで唯一無責任なのは、Googleが技術的な詳細を急いで公開したことです」と付け加えた。
Googleファンボーイが、この情報はパッチが公開されてから1週間後にしか公開されていないと指摘すると、彼はFortniteインストーラーは「実行したとき、またはゲームを実行したときにのみ更新される」と指摘した。
Epic が 90 日間の延期を求めた理由は、ユーザーがアプリを開いてセキュリティ問題を修正する可能性が、1 週間よりも 3 か月の方がはるかに高くなるためでした。
しかし、彼の主張はこれで終わりではなかった。別のツイートでは、Googleの開示の背後にはもっと悪質な理由があると示唆していた。「脆弱性の技術的な詳細を、単なる可用性ではなく、アップデートの採用率に基づいて開示する方が安全ではないだろうか?」と彼は推測し、「もちろん、脆弱性の存在とアップデートの重要性に関する広報活動は、技術的な詳細を開示せずに進めることも可能だ」と付け加えた。
Googleドライブ
要するに、彼はGoogleがFortniteインストーラーのセキュリティホールを公表せざるを得なかったと示唆している。なぜか?Fortniteが公式Google Playアプリストアにアプリを掲載しないことを決めたからだ。スウィーニー氏はその理由を非常に明確に説明した。アプリの収益の30%をGoogleに支払いたくなかったからだ。
「開発者はゲームの開発、運営、マーケティング、ユーザー獲得など、あらゆるコストを負担します」と彼は今月初めに説明した。「私たちは、ソフトウェアを可能な限り経済的に効率的な方法でユーザーに提供するよう努めています。つまり、ソフトウェアを直接ユーザーに配布し、Mastercard、Visa、PayPalなどの決済手段で支払いを受け付け、ストアに30%の手数料を取らせないようにしているのです。」
同氏はまた、スマートフォンのプラットフォームは「実はほとんど何もしていない」どころか、最も人気のあるアプリのキーワードを使って他のアプリの広告を販売することでさえ収益を得ていると指摘した。
Googleのゲームオーバー:フォートナイトがPlayストアを無視、シェア30%を維持、セキュリティ懸念広がる
続きを読む
これはGoogleにとって大きな汚点となった。同社は数百万ドルもの潜在的収益を失うだけでなく、この決定をめぐる報道は、Appleが先駆けとなったGoogleのアプリストアにおける不当な価格設定にスポットライトを当てた。
Epic の決定に対する反論は、この決定によりユーザーが (ほぼ安全な) Play アプリ ストアの外部からソフトウェアをダウンロードすることになり、セキュリティ上のリスクが生じる可能性があるというものだった。
そのため、Google は、Epic のインストーラーのセキュリティホールが原因でこのセキュリティリスクの観点が実際に存在することを発見したとき、そのことを人々に知らせる十分な商業的理由がありました。
もちろん、Googleは、パッチ公開から1週間後に詳細を公開するという決定に、そのような悪意はなかったと主張している。同社は単に自社のポリシーに従い、パッチが公開された時点で、これまで通りのやり方で情報を公開しただけだ。
開示
Googleは、その功績として、長年にわたり情報開示をデフォルトとしてきました。ソフトウェアメーカーは、セキュリティバグを開示すべきでない理由を常に提示しますが、そのアプローチがあまりにも頻繁に、脆弱性が長期間隠蔽され、深刻な影響を及ぼす可能性があります。Googleは、情報開示を堅持していますが、企業から沈黙を守るべきだったという批判が頻繁に寄せられています。
これは、GoogleがPlayストアへの掲載を拒否したEpicを困惑させようとしているのでしょうか?それとも、Epicが自らの深刻な羞恥心から攻撃しているのでしょうか?
それを確認するには、Google社内のメールを見て、意思決定のどの段階まで情報が流れていたかを理解する必要があります。しかし、Epic社のスウィーニー氏は、Googleが自己中心的だと見ている点について、さらにもう一つ指摘しました。
「Google、ハードウェアベンダー、そしてキャリアがAndroid OSのアップデートを推進する上でボトルネックとなっていることを考えると、Googleが自社のソフトウェアで発見したセキュリティ上の欠陥にこの種のポリシーを適用すれば、悲惨な結果を招くだろう」と彼は皮肉を込めて言った。しかしながら、フォートナイトは絶大な人気を誇っているにもかかわらず、依然として単一のアプリであり、オペレーティングシステムではなくゲームであると言っても過言ではないだろう。®
追加更新
「ユーザーのセキュリティは最優先事項であり、マルウェアの予防的監視の一環として、『フォートナイト』のインストーラーに脆弱性を発見しました。すぐにEpic Gamesに連絡し、問題を修正してもらいました」と、Googleの広報担当者はThe Reg宛ての電子メールでの声明で述べた。
