Appleは、GoogleやFacebook、その他の外部サービスを利用する際に「新たに個人情報を公開することなく」新しいアプリを利用できるようにしたいと述べています。これは利用者にとってはメリットかもしれないとエフセキュアのプリンシパルセキュリティコンサルタント、Tom Van de Wiele(トム・ヴァン・デ・ヴィーレ)は考えています。
Appleの年次開発者会議で発表された「Appleでサインイン(英語)」という新しい機能は、ユーザーが個人情報を提供せずにiPhoneの顔認証で新しいサービスを利用できるようにするものです。
優れた方法ですが「解決策」にはなりません
「Appleによるこの方法は、一見、怪しげなモバイルアプリメーカーやFacebookやGoogleなどの巨大広告企業、さらに彼らに協力するあらゆるパートナー企業によってメールアドレスが売り飛ばされないようにする優れた方法と思われます」「しかし、セキュリティの世界では常にトレードオフが存在するため、解決策には成り得ません。」Tomはこのように述べています。
AppleがすべてのiOSアプリに必ず含めるよう開発者に要求している(英語)ソーシャルサインインを使う新しいサービスをユーザーが利用すると、そのアプリやアプリの利用方法について、世界最大のオンライン広告販売会社(英語)であるGoogleやFacebookは多くの情報を得られなくなります。これによってデータ侵害や情報漏洩が公表されることによる影響が制限され、メールアドレスでデータをすぐに関連付けることができなくなります。
それでもメールアドレスでログインしたい場合は、「Appleでサインイン」すると、ランダムな「転送」メールが生成され、メールアドレスが公開されないようにします。
追跡は続きます
これらの巨大メディア企業から情報を収集されないようにすることは、特に最近世界的巨大ソーシャルネットワークを悩ましているプライバシー(英語)やセキュリティの問題(英語)を考えると歓迎すべきことです。
また、世界最大の検索会社が取得できる情報が少なくなるということは、私たちのオンライン上の行動が知られ難くなるということです。ただしこれは、世界最大の検索会社がオンラインでの私たちの行動をプロファイリングすることにまだあまり熟練していない場合です。
Tomは次のように述べています。「Googleはキーワードなどでメールを構文解析することによって私たちが何をやっているかを知り、私たちが持っているアプリケーションや受信メールから私たちの趣味を知ります」「これが大きく変わることはありません。Googleは、より多く入ってくるエイリアスメールを見て、それらをG Suiteエコシステムの中で、私たちのオンラインのアイデンティティに関連付けます。従ってGoogleでは匿名性を保つことにはなりません。
匿名性を提供することでAppleが得るもの
匿名性には常にプラス面とマイナス面があるとTomは警告しています。
「エイリアスメールを生成しAppleを匿名のリメイラーとして使うことで、Appleのサービスはモバイルアプリにログオンする際のあなたの重要な手段となるため、あなた自身をAppleのエコシステムに閉じ込めることになります。これは依存ということにもなります。たとえば作業中、メールしなければならなくなり、モバイルアプリやAppleの転送サービスが利用できなかったりデータが失われたりした場合、アプリを管理できなくなる可能性があります。パスワードのリセットやAppleが単にあなたのエイリアスを『忘れた』場合を想像してみてください。」
ゲームやソーシャルアプリの場合は問題ないでしょう。しかし、通信や玄関の呼び鈴、その他のスマート家電に使用されているアプリが世界初の1兆ドル企業のエコシステムに関連付けられている可能性もあることをTomは指摘しています。
Appleは追跡している位置データの種類を明らかにするとともに、アプリのGPS利用についてユーザーがもっとコントロールできるようにすると発表しています(英語)が、Appleがどのような手段を講じても、アプリメーカーはあなたの居場所やその他の識別可能な情報を見つけるための手段を考え出そうとし続けるでしょう。
Tomによれば、「エンドユーザーが入力したものやアプリメーカーが許可を得て、あるいは許可なく収集したエンドユーザーに関する多くの情報がモバイルアプリメーカーに依然として保管されている可能性があります。
たとえ「Appleでサインイン」を使っても、これらの情報は依然として不正なアクセスを受ける可能性があります。」
「Appleでサインイン」は正しい選択かもしれません
この機能は誰に一番メリットをもたらすとTomは考えているでしょう。
「これまで見てきたように、個人情報漏洩や金融機関の情報漏洩につながる可能性のあるデータ侵害や情報漏洩が公表された場合の影響を限定したいと思う人です。」
カテゴリ