『Pokémon GO』がGoogleアカウントにフルアクセス、セキュリティ上の危険を指摘(続報あり)

写真拡大

ポケモン×AR位置ゲームIngressのNianticコラボで人気爆発中のスマホアプリ『Pokémon GO』ですが、Googleアカウントを使ってサインアップすると、大きなセキュリティリスクがあることが明らかになりました。このリスクはiOS版のみで、Android版にはないとのことです。『Pokémon GO』のサインアップには2つの方法があり、一つはPokémon Trainer Clubでの新規アカウントを作ること。こちらは大人気のためにアクセスが殺到し、7月12日現在は受付を停止しています。とすると二番目の方法、Googleアカウントでサインアップする他ないことになります。

問題なのは、この2つめの方法。Tumblrのブログで指摘したAdam Reeve氏によると、Googleアカウントでサインアップする際、情報アクセスにつきほとんど警告がないまま手続きが完了。しかしアプリに許可されたアクセス権限を確認してみると、驚くべきことにGoogleアカウントへのフルアクセスが許可されていたそうです。

これにより『Pokémon GO』アプリが実行できる権限の一例は次の通り。

全てのメールの閲覧

ユーザーに成り代わったメールの送信

Google Drive上のドキュメントへのアクセス(削除済みを含む)

検索履歴とマップナビ履歴の参照

Googleフォト上にある全てのプライベート写真へのアクセス

もちろん単なるゲームアプリである『Pokémon GO』に、ここまでの情報アクセス権限は必要ありません。Adam氏は単なるNianticのケアレスミスで、個人情報をこっそり集める意図はないだろうと述べています。

が、『Pokémon GO』のプライバシーポリシーにはNianticが集めた個人情報は会社の資産とみなされ、同社が買収ないし合併された場合はそれが移転すると明記。Nianticに悪意がなくても、将来のリスクまでは否定できません。

『Pokémon GO』のフルアクセス削除は、「アカウントに接続されているアプリ」ページでアプリを選んで「削除」するだけ。ただ、その場合はPokémon Trainer Clubでアカウントを作らねばならず、そちらで登録できないとプレイできないことは言うまでもありません。

その一方で、日本を含むその他の国でもGoogle Playでのインストールをお預けされる、所謂「おま国」(お前の国は除く)が続いているため、待ちきれないユーザーがGoogle Playの外で配布されている野良APKに手を出したところ、それがマルウェア入の偽装アプリだった事例もすでに報告されています。

7月10日時点で、すでに『Pokémon GO』のユーザー数はTwitterにも匹敵する勢いとのこと。多くのユーザーが集まるところが悪意が向けられるホットスポットだと肝に銘じて、自分の端末や情報は自分で守る心構えが必要かもしれません。

続報:

Nianticは「プログラム上のエラーだった」と過ちを認めました。プレイヤー特有のIDとメールアドレスだけ必要だったところ、フルアクセス権限にしてしまったとのこと。同社は過剰に得られた個人情報を決して利用しないこと、アプリのアクセス権限を減らすことを約束しています。Google側でも『Pokémon GO』のアクセスをプレイヤーの基本プロフィールに必要な情報のみに削るよう対応中とのこと。