2016年07月28日 07時00分 公開
特集/連載

「Pokemon GOでGoogleアカウント情報が丸見え」問題とは何だったのか“偽Pokemon GO”も多数発見(1/2 ページ)

爆発的人気のモバイルゲーム「Pokemon GO」では当初、Googleアカウントのほぼ全情報の表示・変更権限を取得してしまう問題が発生していた。その背景には何があったのか。

[Peter Loshin,TechTarget]

関連キーワード

Google | API | Android | iOS


Pokemon GO 人気のPokemon GOにセキュリティ問題が(画面はNianticのPokemon GO紹介ページ)《クリックで拡大》

 爆発的人気のモバイルゲーム「Pokemon GO」に想定外の問題が発覚した。Googleのアカウントサービス「Googleアカウント」のほぼ全情報を表示・変更できる「フルアカウントアクセス」権限のトークン(許可証)を、ユーザーの許可なく取得してしまう問題だ。

 開発元のNianticは、Pokemon GOの提供開始後にiOS版の修正を強いられた。Googleアカウントのフルアカウントアクセスの権限を付与するトークンが同ゲームに含まれるという、セキュリティ研究者の報告がきっかけだ。この欠陥による同アプリ自体への影響はなかったものの、トークンを偽装してなりすましをする「トークン置換攻撃」のリスクが明るみに出た。

 米セキュリティ企業RedOwlの主席アーキテクトを務めるアダム・リーブ氏は、自分のGoogleアカウントを認証に使ってPokemon GOで遊び始めた際に、「『このアプリはあなたのメールアドレスと氏名を参照できます』など、アプリがどのデータにアクセスできるかを告げるちょっとしたメッセージ」が表示されることを期待した。ところが、こうしたメッセージは表示されなかった。自分でゲームのパーミッションを確認したところ、Pokemon GOに自分のGoogleアカウントへのフルアカウントアクセスの権限が付与されていることを示す表示を見て、ショックを受けたという。

 Pokemon GOは「Pokemon Trainer Club」(ポケモントレーナークラブ)のWebサイトか、Googleアカウントのいずれかを使ってログインできる。だがPokemon Trainer Clubは最初の段階で新しいプレーヤーが殺到して新規の登録が受け付けられなくなり、プレーヤーは手持ちのGoogleアカウントの認証情報を使ってログインするしか選択肢がなかった。過度なパーミッションは同アプリのiOS版のみで発生し、Androidユーザーは影響を受けなかった。

故意か過失か

       1|2 次のページへ

ITmedia マーケティング新着記事

news155.jpg

「エシカル」に積極的な企業は「良い印象」が9割以上――トレンダーズ調査
今後ますます注目が集まると考えられる「エシカル消費」。年代や性別ごとの意識の違いや...

news157.jpg

国内コネクテッドテレビ広告市場、2020年は102億円規模に――SMNとデジタルインファクト調査
テレビ同様の視聴体験を提供しつつインターネット広告同様に計測可能な国内コネクテッド...

news127.jpg

GAFAの序列変動やSpotify、Zoomなどの動向に注目 「Best Global Brands 2020」
世界のブランド価値評価ランキング。Appleは8年連続1位で前年2位のGoogleは4位に後退しま...