Apple、規約違反の Facebook Research アプリを App Store から排除

Facebook がこの 3 年間、10 代の若者を含むユーザーに謝礼を支払い、スマートフォンにルート証明書をインストールする「Facebook Research」という仮想プライベートネットワーク (VPN) アプリをダウンロードさせていたことが Tech Crunch の報道で明らかになりました。

TechCrunch によると、Facebook はこのルート証明書がインストールされたスマートフォンに「ほぼ無制限でアクセス」することができます。

具体的にどのデータを Facebook Research アプリが収集しているのかは不明ですが、欲しいデータはすべて入手できる、と Guardian Mobile Firewall のセキュリティ専門家 Will Strafach 氏は述べています。

(引用文日本語訳) ユーザーに証明書をインストールさせて手にしたアクセスレベルを Facebook が最大限活用した場合、ソーシャルメディアアプリのプライベートメッセージ、インスタントメッセージングアプリのチャット (送信した写真やビデオを含む)、電子メール、インターネットの検索履歴と閲覧履歴、さらにはインストールされている位置追跡アプリのフィードに含まれる位置情報などのデータを継続的に収集できます。

BBC がこのアプリの登録ページの 1 つにアクセスすると、そのページには Facebook がサービス改善のために情報を使用すること、そして「アプリで暗号化が使用されていても、あるいはセキュアなブラウザセッションであっても」データが収集される「ケースがある」ことが記載されていました。

しかし、Facebook は次のような声明を発表し、アプリ名に「Facebook」が含まれているので「秘密」というわけではない、と述べています。

(引用文日本語訳) この市場調査プログラムに関する重要な点を皆さんは無視しています。初期の報道に反して、このアプリに「秘密」なところは一切なく、Facebook Research アプリという名前で呼ばれていました。参加登録したユーザー全員には明確に許可を求め、参加者には謝礼を支払いました。したがって、これは「スパイ行為」ではありません。最後に、この市場調査プログラムに参加したユーザーのうち、ティーンエイジャーは 5% 未満であり、その全員から署名済みの保護者同意書を受け取っています。

BuzzFeed の Ryan Mac 氏が参加登録を試みると、この保護者の同意を得るプロセスは電子メールアドレスを入力してクリックするだけの形式的なものでした。

また、「Facebook の名前が付いているのだから秘密とは言えない」という Facebook の主張ですが、BBC は以下の条件に従うことを参加者に要求するページを発見しました。

(引用文日本語訳) このプロジェクトに関する一切の情報を第三者に開示しないこと

TechCrunch の Josh Constine 氏の記事は詳細に書かれており、一読の価値がありますが、要点を以下にまとめました。

Onavo 問題の再来

ユーザー情報を収集する Facebook の VPN アプリのニュースは、今回が初めてではありません。前述の Strafach 氏が 2018 年 3 月に詳しく報告しているとおり、Research によく似た Facebook の VPN アプリ「Onavo Protect」は、VPN がオフになっていても以下のユーザー情報を収集して Facebook に送信していました。

  • ユーザーのモバイルデバイスの画面がオンまたはオフになった時刻
  • 1 日の Wi-Fi データ使用量 (バイト)
  • 1 日のモバイルデータ使用量 (バイト)
  • 画面がオンまたはオフの時でも VPN が Facebook と接続していた時間

Wall Street Journal 紙が 2017 年に報じたように、Facebook は Onavo が集めたデータを競合他社の動向や新しい製品カテゴリの調査に利用していました。Facebook のスタッフが送信した社内メールが先月公開され、Facebook が WhatsApp 買収を決定するときなどに Onavo のデータを利用していたことが明らかになりました。また、Vine、Ticketmaster、Airbiquity などの競合アプリの使用状況を追跡し、データ送信 API へのアクセスをブロックする際にも Onavo のデータを利用していました。

2018 年 8 月、Apple は Facebook に対し、プライバシーを侵害しているこのアプリを引き上げるよう忠告しました。Facebook はこれに同意し、App Store から撤収しました。

これは iOS ユーザーのプライバシーにとっては朗報でした。しかし、ユーザーがログアウトしていても、あるいは Facebook アカウントを持っていなくても、複数の Android アプリが密かに Facebook とデータを共有していることがこの数週間で次々明らかになっています。

Apple が Onavo を排除した後も、Facebook は最大 20 ドルの謝礼を支払ってユーザーに同様の VPN アプリをダウンロードさせている、という情報を TechCrunch は入手しました。

確かに、Apple は Onavo を追放しましたが、それでも Facebook はデータを欲しがることを止めませんでした。TechCrunch が調査を実施したところ、2016 年以降 Facebook は Facebook Research を配布する目的で 3 つのアプリベータ版テストサービス (BetaBound、uTest、Applause) を使用していました。Onavo への非難が高まった後 (少なくとも 2018 年半ば以降)、Facebook は Facebook Research を「Project Atlas」と呼ぶようになっています。その他にも、「Project Kodiak」と呼ばれる同様のプログラムが存在していました。

ワームのように Apple に侵入した Facebook Research

Onavo と同様、Facebook Research アプリも自身の目的を果たすために Apple を利用していました。それは、まだ開発段階にあるソフトウェアをインストールするために通常使用される Apple のテストツールを使用して、App Store を迂回するという方法です。そうした Apple のテストツールは本来、特定のケースに限って使用されるものです。たとえば、企業が社内アプリ (監視アプリやセキュリティ強化アプリなど) を従業員に支給する iPhone にインストールする場合などがこれに該当します。

しかし、BBC が報道しているように、Apple の Developer Enterprise Program ライセンス契約には、ルート証明書のインストールは「特定の業務目的」に限り使用が可能で、「従業員が使用する場合」にのみ許可されることが明記されています。

つまり、アプリのベータテストをする会社が、Facebook の関与を隠した広告を通じて集めたユーザーは対象ではありません。

TechCrunch の記事が発表されてから 7 時間後、Facebook は Research アプリの iOS バージョンを削除すると発表しました。しかし、その翌日 Apple の広報担当者は TechCrunch に対し、Facebook が Research アプリを「自発的に」引き上げる前に Apple がアプリをブロックした、と語っています。

Apple は、Facebook がポリシー違反をしたと明言しています。

(引用文日本語訳) Apple の Developer Enterprise Program は、企業内でのアプリ配布専用に設計されたプログラムです。Facebook はそのメンバーシップを利用して、データ収集アプリを消費者に配布していました。これは、Apple との契約に明らかに違反する行為です。アプリを消費者に配布する目的でエンタープライズ証明書を使用した場合、その開発者の証明書は失効します。今回 Apple は、ユーザーとユーザーデータを保護するため、この措置を取りました。

Facebook Research は Android 上では現在も使用が可能です。Facebook をデバイスから完全削除できないことに不満を感じているユーザーにとっては、また 1 つ煩わしさが増えたことになります。