「Pokemon GOでGoogleアカウント情報が丸見え」問題とは何だったのか：“偽Pokemon GO”も多数発見（1/2 ページ）

爆発的人気のモバイルゲーム「Pokemon GO」では当初、Googleアカウントのほぼ全情報の表示・変更権限を取得してしまう問題が発生していた。その背景には何があったのか。

[Peter Loshin，TechTarget]

人気のPokemon GOにセキュリティ問題が（画面はNianticのPokemon GO紹介ページ）《クリックで拡大》

　爆発的人気のモバイルゲーム「Pokemon GO」に想定外の問題が発覚した。Googleのアカウントサービス「Googleアカウント」のほぼ全情報を表示・変更できる「フルアカウントアクセス」権限のトークン（許可証）を、ユーザーの許可なく取得してしまう問題だ。

　開発元のNianticは、Pokemon GOの提供開始後にiOS版の修正を強いられた。Googleアカウントのフルアカウントアクセスの権限を付与するトークンが同ゲームに含まれるという、セキュリティ研究者の報告がきっかけだ。この欠陥による同アプリ自体への影響はなかったものの、トークンを偽装してなりすましをする「トークン置換攻撃」のリスクが明るみに出た。

　米セキュリティ企業RedOwlの主席アーキテクトを務めるアダム・リーブ氏は、自分のGoogleアカウントを認証に使ってPokemon GOで遊び始めた際に、「『このアプリはあなたのメールアドレスと氏名を参照できます』など、アプリがどのデータにアクセスできるかを告げるちょっとしたメッセージ」が表示されることを期待した。ところが、こうしたメッセージは表示されなかった。自分でゲームのパーミッションを確認したところ、Pokemon GOに自分のGoogleアカウントへのフルアカウントアクセスの権限が付与されていることを示す表示を見て、ショックを受けたという。

　Pokemon GOは「Pokemon Trainer Club」（ポケモントレーナークラブ）のWebサイトか、Googleアカウントのいずれかを使ってログインできる。だがPokemon Trainer Clubは最初の段階で新しいプレーヤーが殺到して新規の登録が受け付けられなくなり、プレーヤーは手持ちのGoogleアカウントの認証情報を使ってログインするしか選択肢がなかった。過度なパーミッションは同アプリのiOS版のみで発生し、Androidユーザーは影響を受けなかった。

併せて読みたいお勧め記事

「Pokemon GO」が仕事を変える？

• 「Pokemon GOはビジネスも変える」が“的外れな意見”ではない理由

iPhoneは本当に安全か

• iPhone「iOS」の安全性をITプロが信じるようになった“2010年の転換点”
• iPhone安全神話崩壊か、悪質極まる「SandJacking」攻撃の手口とは

Androidが危険だといわれる理由

• Androidが「iPhoneより危険」といわれ続ける不名誉な理由
• Androidアプリの8割がユーザー情報を収集、“極悪アプリ”はどう見分ける？

故意か過失か