Android端末関連の事業を行うミログ(東京都大田区)は10日、動画コンテンツ配信用のプラットフォーム「app.tv」について、重大な瑕疵(かし;欠陥)が発見されたためサービスを停止したと発表した。同サービス用のアプリ(ソフト)をAndroid端末にインストールすると、端末利用者の情報が利用者に無断で同社に送信される状態となっていた。
■ユーザーの許諾を得ていない段階で情報を取得・送信
app.tvは7月に始まったサービスで、広告アプリケーションをインストールして起動すると仮想通貨を無料で獲得でき、実質無料で動画コンテンツを視聴できる。このため、広告アプリケーションのインストールと起動を確認する目的で、アプリケーション情報を取得している。情報取得については、サービス利用開始時に明示的に許諾確認をしているとされている。
同社によると、app.tv用のアプリをインストールすると、ユーザーの許諾を得ていない段階で情報を取得・送信することが、10日に分かったという。同社あてに送信されていた情報は、端末の個体識別番号であるAndroid-ID、端末にインストールされているすべてのアプリの名称とそれらの起動履歴、端末の機種名、OSのバージョン、サービスプロバイダ名など。同社では情報を無断で送信していたことについて、開発過程の瑕疵による誤動作だと説明している。
しかし、app.tvに関しては、そもそも利用開始時に表示される許諾画面を見て、プライバシーポリシーや利用規約を読んでも、上記のような情報が送信されることを理解するのは難しいのではないか、そのため「明示的な許諾」を得ているとは言えないのではないかという声があがっている。また、同社は同じリリースの中で「許諾画面の文言は定期的に見直している」としているが、以前表示されていた許諾画面では、サービス利用開始時に登録する性別と生年月日のみを取得するかのような、誤解を招く表示がされていたとの指摘もある。
■アプリケーション分析サービス「AppLog」も停止に
ミログは同じく10日、Android端末を対象にしたアプリケーション分析サービス「AppLog」を停止することも発表している。
AppLogは、「AppLogSDK」というプログラムが組み込まれたアプリがAndroid端末にインストールされると、端末のAndroid-ID、インストールされているすべてのアプリの名称とそれらの起動情報、機種名、OSのバージョン、サービスプロバイダ名などをミログのサーバーに送信することが可能になる仕組みだ。ミログではこの情報をもとにアプリの開発者に報酬を支払うほか、端末利用者のプロフィールを推測し、ターゲティング広告への活用を図るという。
どのアプリにSDKが組み込まれているかがユーザーには分かりにくいことや、SDKが動作していてもユーザーには見えないことなどから、スパイウェアではないかとの批判が同社に寄せられていた。また、第三者が、情報を送信するかどうかの設定状態を不正に操作できるという脆弱性も見つかっていた。
同社は、今後もアプリケーション情報という次世代のライフログ情報の可能性を追求する取組みを継続的に実施し、真摯に改善に努めていくとしている。
(2011/10/13 ネットセキュリティニュース)
【関連URL:ミログのリリース】
・AppLogSDKの脆弱性に関する報告
http://www.applogsdk.com/news3
・第三者委員会設置のご報告
http://milog.co.jp/news/2011/10/post-6.html
・app.tvサービス停止に関して
http://milog.co.jp/news/2011/10/apptv-1.html
・AppLogSDKサービスの停止に関して
http://milog.co.jp/news/2011/10/applogsdk-1.html
・AppLogSDKに関する公式見解
http://milog.co.jp/news/2011/10/applogsdk-2.html
・AppLogSDKに関する重要なお知らせ
http://milog.co.jp/news/2011/10/applogsdk.html
【関連URL:app.tvサービス開始時のミログのリリース】
・日本テレビグループと「app.tv(アップティービー)」を共同開発。
http://milog.co.jp/news/2011/07/-apptv-42android-market.html
【関連URL:AppLogサービス開始時のミログのリリース】
・アプリ情報を基盤としたオーディエンスターゲティング広告技術「AppLogSDK」公開
http://milog.co.jp/news/2011/09/1-applogsdk-mediba.html