ブロギングライフ

ブログサイト運営関連、AdSenseについての情報などを発信しています。

なぜGoogleは、Google+ APIに脆弱性が見つかったことを直ぐに発表しなかったのか?

なぜGoogleは、Google+ APIに脆弱性が見つかったことを直ぐに発表しなかったのか?

昨日、Googleが発表したGoogle+ APIで脆弱性が見つかったこと、Google+の閉鎖を発表したことは、日経新聞が記事を投稿するなど、日本でも注目を集める話題となったように思います。Twitterなどでの投稿なども目にしました。今回のGoogleの発表は、Google+の利用者にとっては、利用しているサービスが閉鎖されることになることは大きなショックだと思います。さらに、今回のニュースは、一般的には、個人情報流出の可能性についての懸念とGoogleが脆弱性を発見してから、半年以上も発表しなかったことについての批判的な意見を持った人も多いのではないかと想像しています。

日本経済新聞の記事、「Google+ 閉鎖へ 50万人の個人情報流出の恐れ」が、今回のGoogleの発表に対する一般の捉え方、見方を良く表していると思います。

システムに脆弱性があって、個人情報が漏洩することは、現実に起こりうることで、その様なニュースを目の当たりにすることは、珍しいことではありません。WordPress関連では、昨年2月にセキュリティの脆弱性により、5万以上のサイトが乗っ取られると言う事件が発生しました。さらに2017年12月には、30万のサイトで利用されていたWordPressプラグインに乗っ取りの手口の一つであるバックドアが見つかったことが発覚しました。

上記の様なシステムの脆弱性による乗っ取りや情報漏えいは、WordPressだけではなく、多岐にわたって発覚しています。2017年10月、Yahooは2013年にメールシステムが乗っ取られて、30億のユーザの個人情報が盗み取られた恐れがあることを明らかにして、大きな話題となりました。(個人情報が盗まれた恐れがあることについて、Yahooからも直接メールを受け取りました。)

さらに2018年の初めにトランプ大統領のキャンペーンを担当したイギリスの研究組織、”Cambridge Analytica”が、8700万人のFacebook ユーザーの個人情報を不正に入手していたことが発覚し、その問題についてCEOのMark Zuckerberg が米国議会に呼ばれ、2日に渡る公聴会が行われたことは、記憶に新しいです。

システムの脆弱性が発覚した場合は、通常、速やかに発表するのが一般的です。しかし、今回のGoogleの発表は、3月に見つかった脆弱性に関する問題を、7ヶ月後の10月に発表したことが、通常とは異なる所です。今回のGoogle+ APIに脆弱性が見つかったことに関連するニュースは、Wall Street JournalがGoogleの発表と同日の10月8日に詳しい内容を報道しています。

日経新聞の記事には、「一方で米ウォール・ストリート・ジャーナルは同日、グーグルの発表前に情報流出の恐れを電子版で報道。同社が「企業の評判への影響と当局の調査を恐れて公表を伏せた」と厳しく指摘した。」と書かれています。WSJの記事を私は、読みましたが、記事は客観的な立場で書かれており、厳しく指摘したと言うような印象は受けませんでした。

ウォール・ストリート・ジャーナルの記事の概要

Google Exposed User Data, Feared Repercussions of Disclosing to Public

この記事のタイトルは、(注目を集めることも意図してと思われるため)「Google ユーザーデータ流出の恐れ、一般公開することによる悪影響を懸念した(恐れた)」と言うようなタイトルになっていますが、入念に取材調査を行った上で客観的に書かれているとても良い記事です。本件についての詳細やGoogleの話も入手したGoogle社内向けのドキュメントを元に書かれており、状況を理解する上でも参考になります。ご興味のある方は、ご一読されることをお勧め致します。

以下、ウォールストリートジャーナルの記事の概要を訳して紹介して、コメントと考察を付記します。

2015年から2018年3月までの間、外部の開発者がGoogle+ のプロファイルデータにアクセスすることができるバグがあったことが、内部監査で発覚し、問題の対処を行ったことが、Googleのドキュメント(社内文書)と関係者による話から分かった。

Googleの法務とポリシーのスタッフからジャーナルが提供を受けたメモは、Googleのシニアエグゼクティブに共有されたものであり、この問題を公開することは、「即座に行政の興味」の引き金を引き、Cambridge Analytica社が手に入れたFacebookのユーザー情報の漏洩と比較を招くことになることを警告したものでした。

内部の人間によると、チーフエグゼクティブのSundar Pichaiは、社内のコミッティーが結論を下した後、ユーザーに通知しない計画についての説明を受けた。

(社内の関係者の話から)Google+の閉鎖は、プライバシーに対するGoogleの取扱いについての広範な見直し(レビュー)の結果、Googlehaいくつかの主要製品について厳しい管理が必要であることを決定した一環として行われた。月曜日の発表は、Googleが社外の開発者がAndroidのスマートフォンとGmailのユーザーデータにアクセスすることを制限する(縮小する)ことを声明するものである。

Google+のAPIのバグについての詳しい説明。(問題の説明を受けた人と文書を元に、ウォールストリートジャーナルが作成)

この問題を発表するかを含めてGoogle社内でも、本当に色々な論議が行われたこと、データ漏洩の恐れがあったことを公開することによって、様々な事柄に影響があることも懸念されていました。特に今年に入ってからは、Facebookのデータ漏洩が起きたこと、GoogleやFacebookが巨大になって、非常に多くの情報取り扱うことに関しての、ナショナル・セキュリティ(国家保安)上の懸念なども起きています。特にGoogleに関しては、米国保守派に対する検索結果の表示に対する保守派の不満や市場で力を持ちすぎていること、中国とのやりとりなどでも保守派を中心に懸念の声が強くなってきています。Google CEOのSundar Pichaiは,GOP(Grand Old Party:共和党の別称)の立法部トップとプライベートの会談を9月末に行ったりしています。(Google CEO Sundar Pichai to Meet With Top GOP Lawmakers, WSJ)

 

「ユーザーのデータが何らかの影響を受けている可能性がある時は、我々は常に法的な要求事項を超えて、通知を行うかどうかを決定する際にユーザーに焦点を当てたいくつかの基準を適用します。

我々のプライバシー&データプロテクション オフィスは、関連したデータの種類、通知すべきユーザーを正確に見つけ出すことができるかどうか、誤用を示す証拠があったかどうか、そして開発者、またはユーザーが対処することができるかどうかについて、レビュー(監査)を行いました。今回の件については、どの項目もしきい値を超えるものではありませんでした。」

上の部分は、Googleの発表記事の一部です。WSJの記事内で引用しています。

Googleの”Project Strobe”は、100人以上のエンジニア、プロダクトマネージャーと法律の専門家によって構成されていると記事に書かれています。(内部関係者の話)

2018年の初めに、開発者が明確なデータ収集についての説明をせずにGmailのアプリを利用してユーザーのインボックスにアクセスしていることが、ウォールストリートジャーナルの調査の結果分かり、Googleは開発者のGmailへのアクセスの取締りへのプレッシャーを受けていた話なども記載されています。

Google+ APIの脆弱性についてのバグについても詳細な説明があります。プロフィールデータが漏れる可能性があったユーザー数は、496951と具体的な数字も記載されています。

どの様に情報を開示するかについても、社内で意見が分かれたと記事に書かれています。

ウォールストリートジャーナルは、外部の法律専門家にインタビューを行っています。情報漏えいに関する通知義務などは、米国では法律で定められていません。この様な分野に携わる法律専門家によると、名前や誕生日などが漏洩した場合、多くの企業はユーザーには通知しないことが多い。しかし、一部の企業はデータが漏洩したか不明であってもユーザーに通知する企業もある。私が担当した50%のケースは、ジャッジメントコールでした。悪い人間が情報にアクセスしたと言える決定的な証拠を掴むのは50%程度です。と語ったそうです。

今年の5月に執行されたヨーロッパのGDPRは、守れない場合は、全世界での売上の最大2%の罰金を徴収することで、情報漏洩発覚について72時間以内に通知を行うことを企業に求めています。Google+ APIの個人情報漏えいは、GDPRの対象になる可能性もあるが、問題が見つかったのが3月のため、ヨーロッパの規制の対象にはならないだろうと、分野に関わる法律専門家はコメントしているとのことです。

以上、大まかな概要です。ご興味のある方は、原文を読まれることをお勧め致します。

コメント

このウォールストリートジャーナルの記事が投稿された後に、Googleが(慌てて)ユーザーデータ流出の恐れがあることを発表したように書いている英語のメディアもありますが、Googleはウォールストリートジャーナルが記事を公開することを分かっていたと認識しています。記事にもそのことを示すことが書かれています。追記されたところもあると思いますが、Googleの発表記事についての記載やリンクも貼られています。ウォールストリートジャーナルは、Googleの社内文書を入手して記事を書いています。推測になりますが、Googleがウォールストリートジャーナルに文書を提出し、関係者が内容についても説明を行った(密かに入手したのではなく、然るべきルートで入手した)と推測しています。

その様に推測する理由は、文書に加えて、社内で本件に深く関わる者しか知ることのできない情報をかなりのレベルで把握していること、関係者の話と言及していること、記事の投稿とGoogleの発表が同じ日に行われたことなどからです。Googleにとってもかなり繊細なニュースなので、憶測などではなく、社内の文書を見てもらって、客観的な記事を書いてもらう意図からWSJに文書や情報を事前に渡したと考えています。しかし、どの様な記事になるかについては、一任しており、WSJも客観的な立場で記事を書いたと推測しています。一部のニュースメディアに直接情報を渡すことは珍しいことではありません。

(考察を書き加える予定です。)

コメントを残す(承認後表示されます)

*
*
* (will not be published.)

Return Top