人気ゲーム「フォートナイト」のインストーラーの脆弱性対応を巡って開発会社がGoogleを強く批判

世界的に人気のあるバトルロイヤルアクションゲーム「フォートナイト」のAndroid版が、2018年8月からリリースされています。Android版「フォートナイト」はGoogle Playを使用せず、公式サイトからダウンロードできるインストーラーで配信されています。Googleは2018年8月15日にこのインストーラーに脆弱性があると通知し、同月17日に修正パッチが配信されました。しかし、Googleのその後の対応に対してEpic Gamesは強く批判しています。

Epic Games slams Google for sharing Fortnite Android app exploit info
https://mashable.com/2018/08/25/google-epic-games-fortnite-android-app-exploit/

Fortnite Installer downloads are vulnerable to hijacking [112630336] - Visible to Public - Issue Tracker
https://issuetracker.google.com/issues/112630336

Epic gamesは、Android版「フォートナイト」リリースに際して、ゲームの配信をGoogle Playで行う予定は今後もないと発表しました。Epic GamesのCEOであるティム・スウィーニー氏は、Google Playストアでの配信を行わない理由について、「なるべく顧客と近い関係を作るため」「ゲーム内通貨や有料プランに課せられる30％という手数料を避けるため」と語っています。

AppleやGoogleが運営するアプリストアはあまりにも多額の手数料を取っているとアプリ開発側の不満が募る - GIGAZINE

Android版「フォートナイト」をダウンロードするためには、公式サイトからインストーラーをダウンロードする必要があります。App Storeからしか配信できないiOSアプリと異なり、AndroidのアプリはGoogle Play以外からでも配信が可能ですが、GoogleはGoogle Play以外で配信されているアプリのインストールを推奨していません。

2018年8月15日、Googleは「公式サイトで配布しているインストーラーに、マルウェアの外部からの侵入を可能にする脆弱性が認められる」とEpic Gamesに通知しました。この段階では脆弱性の詳細は一般に公開されていませんでした。

Epic Gamesは通知から48時間以内に修正パッチを当て、インストーラーのアップデートを行いました。Epic Gamesは、ユーザーがアップデートを適用するまでの猶予期間として、バグレポートの公開を90日間待ってほしいとGoogleに申請しました。

しかし、Googleはバグ公開ガイドラインを「問題発覚から90日経過した後、もしくはパッチが広く入手可能になった後、コメントや添付ファイルを含むバグレポートが一般公開される」と定めており、Epic Gamesの対応によって「パッチが広く入手可能になった」と判断し、アプリのアップデートから7日後にバグレポートを公開しました。

この件についてMashableからの取材を受けたスウィーニーCEOは「Googleの努力によって脆弱性が発見され、迅速にアップデートを行うことができました。しかしユーザーによるアプリの更新が十分に行われていないにも関わらず、脆弱性について詳細を公表するのは無責任です」と述べ、さらに「Googleは、Google Play外部でフォートナイトを配信することへの嫌がらせで、ユーザーを危険にさらすべきではありません」と、今回のGoogleの措置は一種の報復だと解釈するようなコメントも行っています。