注目画像のクレジット: Gerd Altmann撮影
先週、Facebookがエンタープライズ開発者プログラムの証明書を悪用し、プライバシーを侵害する「研究」アプリでAppleのApp Storeガイドラインを回避していたという報道がありました。Appleはこれに対し、Facebookのエンタープライズ証明書を失効させました。その結果、Facebookの社内アプリとベータ版がすべて無効化されました(「Apple、ポリシー違反でFacebookの社内アプリをシャットダウン」、2019年1月30日参照)。その後、GoogleもFacebookとほぼ同じことをしていたことが発覚し、AppleもGoogleの証明書を失効させました。両社はすぐにAppleと交渉し、証明書の復活を取り付けましたが、なぜこのテクノロジー大手2社がこれほど露骨に争いを繰り広げるようになったのでしょうか?
タイムライン
イベントの順序は次のとおりです。予想よりも早く始まります。
- 2013年10月: Facebookがモバイル分析企業であるイスラエルのOnavoを買収。
- 2016年:Facebookは、13歳から35歳のユーザーがiOSデバイスにFacebook Researchアプリをインストールすると、月額最大20ドルを支払うプログラムを開始しました。このアプリはFacebookのエンタープライズ開発者プログラム証明書を使用しているため、FacebookはApp Store以外でも、Appleの監視なしに配布できます。Appleはこのようなエンタープライズ証明書の使用を明確に禁止しています。エンタープライズ証明書は、企業が社内使用または限定的なベータテストのためにのみアプリを開発・配布できるようにするために設計されています。
- 2018年2月:FacebookはiOSアプリにひっそりと「Protect」リンクを挿入しました。このリンクは、Facebookが所有するVPNアプリ「Onavo Protect」に誘導する無料アプリです。「 FacebookのiOSアプリの「Protect」に注意」(2018年2月14日)をご覧ください。このVPNは、事実上、ユーザーのインターネットトラフィックをすべてFacebookに渡していました。
- 2018 年 3 月:セキュリティ研究者のWill Strafach 氏は、Onavo Protect for iOS が画面のオン/オフ、1 日の合計データ使用量、VPN 接続の稼働時間を検出できることを明らかにしました。
- 2018年6月: AppleはApp Storeのルールを変更し、「分析や広告・マーケティングを目的として、ユーザーのデバイスにインストールされている他のアプリに関する情報を収集する」アプリを禁止しました。この変更は明らかにOnavo Protectなどのアプリを狙ったものです。
- 2018 年 8 月: Apple からの圧力により、Facebook は Onavo Protect を App Store から削除しました。
- 2019年1月29日:TechCrunchのジョシュ・コンスティン氏が、Facebook Researchプログラムの詳細を記したレポートを公開しました。レポートには、Appleの承認なしに企業向け証明書を使用してアプリを配布していたことなどが含まれています。記事の中で、ストラファッハ氏は「このiOSアプリのコードは、禁止されたOnavoアプリを粗雑にリブランドしただけのものであることを強く示唆しています。このアプリは、Appleのルールに直接違反してFacebookが所有する企業向け証明書を使用しており、FacebookはAppleの審査なしにこのアプリを好きなだけ多くのユーザーに配布できるようになっています」と述べています。ストラファッハ氏によるアプリの分析では、このアプリは「ソーシャルメディアアプリのプライベートメッセージ、インスタントメッセージアプリのチャット(他のユーザーに送信された写真や動画を含む)、メール、ウェブ検索、ウェブ閲覧アクティビティ、さらには現在位置情報」まで収集できることが明らかになりました。
- 2019年1月29日: Constine氏の記事が掲載されてから7時間後、FacebookはTechCrunchに対し、iOS向けのFacebook Researchを停止すると伝えた。
- 2019年1月30日:Facebookが行動を起こす前に、AppleはFacebookのエンタープライズ証明書を失効させました。これにより、Facebook Researchアプリは無効化されました。Appleは声明で次のように述べています。
エンタープライズ開発者プログラムは、組織内でのアプリ配布のみを目的として設計されています。Facebookはメンバーシップを利用してデータ収集アプリを消費者に配布しており、これはAppleとの契約に明確に違反しています。エンタープライズ証明書を使用して消費者にアプリを配布する開発者は、証明書を失効させる必要があります。これは、ユーザーとそのデータを保護するため、今回のケースで私たちが行った措置です。
- 2019年1月30日: BloombergとThe Vergeはともに、iOSを使用している従業員がパブリックアプリのベータテストを行えなかったり、交通機関やランチメニューなどの社内アプリを使用できなかったりしたことでFacebook社内で混乱が生じたと報じている。
- 2019年1月30日: TechCrunchは、GoogleがFacebookと同様の「Screenwise Meter」というプログラムを実施していると報じた。Googleは直ちに謝罪し、TechCrunchに対し次のように述べた。
Screenwise Meter iOSアプリは、Appleの開発者エンタープライズプログラムで動作すべきではありませんでした。これは誤りであり、お詫び申し上げます。iOSデバイスではこのアプリを無効にしました。このアプリは完全に任意であり、これまでもそうでした。このアプリにおけるユーザーデータの使用方法については、これまでもユーザーに明確に説明してきました。アプリ内およびデバイス内の暗号化されたデータにはアクセスできません。また、ユーザーはいつでもこのプログラムからオプトアウトできます。
- 2019年1月31日: Appleは Facebookの場合と同様にGoogleのエンタープライズ証明書を取り消し、Google内でもある程度の大混乱を引き起こした。
- 2019年1月31日:Facebookの最高執行責任者(COO)シェリル・サンドバーグ氏はCNBCのインタビューで不正行為を否定し、Facebookリサーチの参加者は「厳格な同意手続き」を経たと述べた。インタビュアーは真顔で対応した。
- 2019年1月31日:同日遅くに、AppleはFacebookとGoogleのエンタープライズ証明書を復元しました。
- 2019 年 2 月 1 日: Cheddar の Alex Heath 氏は、Facebook が研究プログラムのメンバーに iOS でのプログラムを終了することを通知したと報告しています。
教訓
この騒動から私たちは何を学ぶべきでしょうか?
- 独立した報道機関は不可欠です。確かに私たちは偏向していますが、Facebookは2016年にFacebook Researchアプリをリリースしました。そして、AppleがFacebookのエンタープライズ開発者プログラム契約違反に気づいたのは、3年後のTechCrunchの報道のおかげでした。このニュースをいち早く報じてくれたJosh Constine氏とTechCrunchに感謝します。
- Appleのエンタープライズ開発者プログラムは、App Storeの規則を回避するために悪用されています。FacebookやGoogleのような大企業がプログラムの規約違反を容認しているのであれば、他社も同様に容認しているはずです。Appleはこのような違反を見つけ出し、取り締まる必要があります。
- iOSとAndroidの隔たりは、かつてないほど鮮明になっています。Appleはここでややコントロールフリーク気質で、これまでも数々の事例を報じてきましたが、同社が何の理由もなく無実の開発者に不相応なほど厳しい対応を取っています。しかし、代替案としてAndroidを使うという選択肢があります。Androidでは、ユーザーはあらゆるアプリをサイドロードでき、セキュリティレベルもはるかに低いからです。お好みでどうぞ。
- 多くのユーザーはプライバシーをそれほど重視していません。Slateのシャノン・パラス氏がFacebook Researchのユーザー数名と話をしたところ、彼らは概ねプライバシーの影響を認識していました。しかし、そもそもプライバシーを期待していなかったため、少額の金銭であればデータを売っても構わないと考えていました。これは残念なことですが、FacebookとGoogleがデータにお金を払うのは、両社(そして他の多くのインターネットマーケティング企業)が私たち一般ユーザーに対して行っているあらゆる秘密の追跡よりも、ある意味ではより誠実な行為と言えるでしょう。
- FacebookとGoogleは大きすぎて潰せない。Appleが両社のエンタープライズ証明書を復活させるのにほとんど時間はかからなかった。もっと小さな企業で、こんなことが起こっただろうか?
この話はこれで終わりなのでしょうか? AppleがFacebookとGoogleの行為を、両社が締結した契約に明らかに違反しているとして厳しく非難しただけで、Facebook ResearchとScreenwise MeterのiOSアプリが削除された以外は、何も変わっていません。