Facebookが月額2200円でユーザーのほぼ全てのスマホデータを買っていたアプリが問題に、AppleはFacebookの社内向けアプリをブロック

by Sara Kurfeß

iOSでアプリを配信するには公式のApp Storeを使用するのが一般的な手順ですが、社内で開発したアプリを社内でだけ使ってもらいたいというケースも往々にしてあります。AppleのApple Developer Enterprise Programに登録すれば、App Storeを経由せずに社内向けアプリを配信することが可能になるのですが、Facebookがこの機能を悪用したとしてAppleから社内向けアプリの配信をブロックされるという事態が発生しています。

Apple blocks Facebook from running its internal iOS apps - The Verge
https://www.theverge.com/2019/1/30/18203551/apple-facebook-blocked-internal-ios-apps

AppleがFacebook向けに提供していた社内向けアプリの配信機能を停止しました。情報筋によると、Facebook・Instagram・Messengerといったメジャーアプリのテスト版アプリから、「dogfood」というベータ版アプリに至るまで、社内向けアプリとして配信されていたあらゆるアプリ(Facebook製の社内向けアプリ)が機能しなくなったそうです。影響を受けたアプリは従業員向けの端末ではもはや起動しないため、Facebookの社内では重大な問題として扱われているとのこと。

なぜAppleがFacebookの社内向けアプリをブロックしたのかというと、2019年1月29日にTechCrunchがその存在を明らかにした「Facebook Research」というアプリが関係しています。Facebook Researchアプリは市場調査の一環として、13～35歳、特にInstagramとSnapchatの広告では13～17歳を対象にプログラムの参加者を募っていました。VPNをセットアップするFacebook Researchアプリをダウンロードすると、ユーザーは、ウェブ検索の内容、位置情報、SNSで交わしたメッセージ、インスタントメッセージアプリで送った内容・写真・ムービーを含めたスマートフォン上のほぼ全てのデータをFacebookに手渡すことになります。

Facebookが実際にどのようなデータを取得していたのかは正確にわかっていませんが、セキュリティ専門家のWill Strafach氏はFacebookがユーザーに対しrootアクセスを可能にするよう求めていた点を強調しています。「これにより、Facebookはあなたに関する最も機密性の高いデータに継続的にアクセスできます」とStrafach氏はコメント。なお、プログラムに参加したユーザーには1カ月あたり最大20ドル(約2200円)がギフトカードで支払われることとなっていました。

Facebook caught paying teens for access to all of their personal data - Vox
https://www.vox.com/the-goods/2019/1/30/18203803/facebook-research-vpn-minors-data-access-apple

Teens deserve more than $20 for giving all their phone data to Facebook - The Verge
https://www.theverge.com/2019/1/30/18202990/facebook-research-gift-cards-onavo-privacy

FacebookはこのFacebook ResearchアプリをApp Store経由ではなく、社内向けアプリとして配信していました。社内向けアプリは名前の通り「会社の従業員だけが使用すること」を目的とした、特別なアプリ配布方法であるわけですが、Facebookはこれを悪用してユーザー向けに秘密裏にFacebook Researchアプリを配布してきたというわけです。

by Tim Bennett

FacebookはTechCrunchに対してFacebook ResearchアプリはAppleの規約に違反していないと主張していますが、Recodeに寄せられたApple側の声明には、「Facebook ResearchアプリはAppleの規約に明らかに違反している」と記されており、AppleはFacebook側の行いを強く批判しています。なお、報道直後、FacebookはFacebook Researchアプリを停止しています。Apple Developer Enterprise Programは社内向けアプリを広く配布するための主なソリューションとなっているため、Facebookの広報担当者は「Appleによるブロック措置が社内のアプリに影響していることを確認することができます」と語っています。

また、AppleはFacebookの証明書を失効させています。これにより、FacebookはiOS上で社内向けアプリを配信できなくなるだけでなく、これまでに配布した社内向けアプリも利用不可能となります。さらに、同じ組織に在籍する開発者が作成した社内向けアプリはすべて単一の証明書に接続されている可能性があるため、Facebook関連企業が作成してきたあらゆる社内向けアプリが停止してしまっている可能性もあります。

2018年3月、Appleのティム・クックCEOはCambridge AnalyticaがFacebookの5000万人分のユーザーデータを不正利用した問題について、「もしあなたがFacebookのマーク・ザッカーバーグCEOだったら？」と尋ねられた際に、「私ならああいった状況にはならない」と回答し、Facebook側のプライバシー情報の扱い方に疑問を呈しました。それ以来AppleとFacebookはユーザーのプライバシーを巡って争いを続けていますが、AppleがFacebookの活動の一部を直接停止させる行動に出たのは今回が初めてのこととなります。

・おまけ
GoogleもFacebookとほぼ同様の「iOSの社内向けアプリ」を利用する方法で、iPhoneユーザーがどのような活動を行っているのかを監視するアプリを配信していたことが判明しています。

Google disables app that monitored iPhone usage in violation of Apple’s rules - The Verge
https://www.theverge.com/2019/1/30/18204350/google-screenwise-app-ios-apple-violation

問題となっているのは「Screenwise Meter」と呼ばれるアプリで、GoogleのGoogle Opinion Rewardsプログラムに参加したユーザーを対象に、インターネットの使用状況データを収集する代わりにギフトカードを提供していました。iOS版は社内向けアプリとして配信されており、記事作成時点では既に使用不可能となっているそうですが、Android版はGoogle Play上で利用可能なままとなっています。

Screenwise Meter - Apps on Google Play
https://play.google.com/store/apps/details?id=com.google.android.apps.userpanel

Googleの広報担当者は海外メディアのThe Vergeに対して、「Screenwise MeterのiOSアプリは、Apple Developer Enterprise Programでは動作しないはずでした。このアプリの配信は間違いでした、申し訳ありません。iOS版のアプリは無効にしました。このアプリは完全に任意のもと使用されるものであり、我々はアプリで集めたデータの使用方法について事前にユーザーに知らせており、アプリやデバイス上の暗号化されたデータにアクセスすることはできません。また、ユーザーはいつでもプログラムから離れることができます」とコメントしています。