『Pokémon GO』がGoogleアカウントにフルアクセス、セキュリティ上の危険を指摘(続報あり)
これにより『Pokémon GO』アプリが実行できる権限の一例は次の通り。
全てのメールの閲覧
ユーザーに成り代わったメールの送信
Google Drive上のドキュメントへのアクセス(削除済みを含む)
検索履歴とマップナビ履歴の参照
Googleフォト上にある全てのプライベート写真へのアクセス
もちろん単なるゲームアプリである『Pokémon GO』に、ここまでの情報アクセス権限は必要ありません。Adam氏は単なるNianticのケアレスミスで、個人情報をこっそり集める意図はないだろうと述べています。
が、『Pokémon GO』のプライバシーポリシーにはNianticが集めた個人情報は会社の資産とみなされ、同社が買収ないし合併された場合はそれが移転すると明記。Nianticに悪意がなくても、将来のリスクまでは否定できません。
『Pokémon GO』のフルアクセス削除は、「アカウントに接続されているアプリ」ページでアプリを選んで「削除」するだけ。ただ、その場合はPokémon Trainer Clubでアカウントを作らねばならず、そちらで登録できないとプレイできないことは言うまでもありません。
その一方で、日本を含むその他の国でもGoogle Playでのインストールをお預けされる、所謂「おま国」(お前の国は除く)が続いているため、待ちきれないユーザーがGoogle Playの外で配布されている野良APKに手を出したところ、それがマルウェア入の偽装アプリだった事例もすでに報告されています。
7月10日時点で、すでに『Pokémon GO』のユーザー数はTwitterにも匹敵する勢いとのこと。多くのユーザーが集まるところが悪意が向けられるホットスポットだと肝に銘じて、自分の端末や情報は自分で守る心構えが必要かもしれません。
続報:
Nianticは「プログラム上のエラーだった」と過ちを認めました。プレイヤー特有のIDとメールアドレスだけ必要だったところ、フルアクセス権限にしてしまったとのこと。同社は過剰に得られた個人情報を決して利用しないこと、アプリのアクセス権限を減らすことを約束しています。Google側でも『Pokémon GO』のアクセスをプレイヤーの基本プロフィールに必要な情報のみに削るよう対応中とのこと。
