基礎情報
まずは、今回の案件のニュースリリースは、「人生ゲーム」スマホアプリ第2弾! AppStore/Google playで同時に配信開始! 「人生ゲーム」〜借金返済計画〜始動!!(魚拓)である。
「人生ゲーム」という版権管理およびとりまとめ担当として株式会社タカラトミーエンタメディアが関与し、株式会社スペースアウトが実装したのだろう。
2012年初頭に人生ゲーム2012としてリリースされたiOS用Appにて、UDIDを認証に使っていることを発見し、株式会社タカラトミーエンタメディアへ問い合わせをしていたことを思い出したからである。ちなみに、問い合わせた結果が、「人生ゲーム2012」App Storeでの公開停止に関するお詫び(魚拓)である。
さらに、App Town ゲーム:iPhoneやiPadで億万長者を目指せ! 「人生ゲーム2012」が登場(魚拓)にも株式会社スペースアウトが記載されており、実装が同じ会社であることから「前回で懲りてもうやらかしていないよね?」と期待したのである。
解析
Appへの操作としては、起動し、ゲーム開始までの手順を行い、終了させ、この間の通信を監視した。
自社管理下のサーバーに自らMACアドレスをMD5ハッシュしたものを送信しているという、非常に残念な結果である。
考察
前回は、株式会社アドウェイズがサービスし、UDIDを使っているAppDriverをユーザーの動向を調査するためとして株式会社スペースアウトが寄生させたことが原因であったため、連鎖的に「AppDriver」の不具合に関するお詫びをリリースさせ、さらに株式会社タカラトミーエンタメディアも上記のリリースを出すことになってしまったが、今回は自前でやっているのでさらに悪質である。
ハッシュ化したところで、元にする識別子がMACアドレスである以上、MACアドレスを認証などに使用する場合の次のような副作用を逃れることはできない。
- 一般的にはMACアドレスを変更する層は少ないためこれの一意性による名寄せの危険性がある。
- JailbreakなどによるMACアドレスが変更可能であるために一意性が保証されないものを認証に使っているという脆弱性がある。
また、UDIDがダメならMACアドレスを使おうと考えてしまうガラジニア丸出しの程度が知れることも副作用だろう。
経過(暫定決着)
2012.11.20に株式会社タカラトミーエンタメディアへ架電して状況を説明したところ、調査した後にとりまとめてコールバックをいただけることとなった。また、同日に株式会社スペースアウトにもガラジニアの生の声を聴きたくて架電したが、既に株式会社タカラトミーエンタメディアから問い合わせが入っており調整中とのことだったので、こちらにはコールバックのお願いはしなかった。
2012.11.20 2145時ごろに株式会社タカラトミーエンタメディア様から電話があり、次のような回答をいただいた。なお、「一般的にはMACアドレスが端末に紐付いた一意性がある識別子であるとの認識がある」とはおっしゃっていた。
- MACアドレスは個人情報か?
定まっていない。 - MACアドレスを利用する目的は何か?
ユーザーの識別機能およびユーザのランキング機能に用いている。 - なぜMACアドレスを使用することにしたのか?
株式会社スペースアウトから実装を外注に出しており、同社および株式会社タカラトミーエンタメディアは把握していなかった。 - MACアドレスを利用したときの副作用を知っているか?
把握していない。 - MACアドレスは名寄せにより個人情報になり得ることを理解しているか?
把握していない。 - MACアドレスは一意性を担保できないことを理解しているか?
把握していない。 - 今後の対応はどうするのか?
配信停止を念頭に検討し、その後の対応についても再度検討する。
4〜6項のような認識であったため、ひととおりご説明をさせていただいた。
前回のように潔いとともにユーザーのことを思いやった対応を株式会社タカラトミーエンタメディアおよび株式会社スペースアウトに望む。
2012.11.21 1513追記
次のiTunesのスクリーンショットのように、人生ゲーム借金返済計画がiTunes Storeから撤去されたことを確認した。ニュースリリースはまだのようだが株式会社タカラトミーエンタメディアさんの賢明な判断に敬意を表したい。
2012.11.24 1613追記
株式会社スペースアウトはだんまりだが、株式会社タカラトミーエンタメディアさんのトップページに『「人生ゲーム 借金返済計画」 AppStore での公開停止に関するお詫び』と題するリンク(魚拓)が出現し、リンク先には同題名のPDFが公開された。
しかし、次の文面があるので監視を要するだろう。
今後の対応について アップデート、再公開などの対応につきましては、現在検討中です。決定次第随時当サイト上でお知らせ致します。
また、何気なく「株式会社スペースアウト」を検索キーワードにググってみたところ、「裏ではみんなつながっている by 金無心Webサービス屋」という言葉が悲しくも実証される情報を見つけた。SlideShareに株式会社スペースアウトのアカウントがあるのだが、そのfollow先(魚拓)に株式会社パンカクのCEOがいたのである。
ネタ
“UDID MACアドレス”を検索キーワードにググったところ、次のようなtweetがあったのでReTweetした。
UDIDの代わりにMACアドレスを使うのって、認証じゃなくてゆるい端末の追跡に使うだけなら問題ないよね?精度がどのくらいになるかというのはあるだろうけど。
— kanonjiさん (@kanonji) 8月 22, 2011
図らずもこれが実行された形になった。