最新情報:ポケモンGOをプレイすると大きなセキュリティリスクが伴う
お使いのブラウザは古いバージョンです。より快適にご利用いただくために、ブラウザをアップグレードしてください。
ゲーム は あなたのGoogleアカウントに完全にアクセスできます
安全
2016年7月11日
アップデート2(7月12日): Pokémon Goの新しいアップデートがApp Storeに登場しました。バージョン1.0.1では、アクセスに関する問題が修正され、その他の小さな修正も行われています。
更新: Ars Technicaへの声明で、Nianticは、基本的なアカウント情報以外のデータはアクセスされておらず、今後のアップデートで問題が完全に修正されると述べています。
iOS での Pokémon Go のアカウント作成プロセスにおいて、ユーザーの Google アカウントへのフルアクセス権限を誤って要求していることが最近判明しました。Pokémon Go は基本的な Google プロフィール情報(具体的にはユーザー ID とメールアドレス)のみにアクセスし、その他の Google アカウント情報にはアクセスも収集もされていません。このエラーに気付いた後、実際にアクセスするデータに合わせて、基本的な Google アカウント情報のみの権限を要求するクライアント側の修正に取り組み始めました。Google は、Pokémon Go および Niantic がその他の情報を受け取ったりアクセスしたりしていないことを確認しています。Google はまもなく、Pokémon Go の権限を、Pokémon Go に必要な基本的なプロフィールデータのみに縮小する予定ですので、ユーザー自身で何らかの対応をする必要はありません。
元記事:
ポケモンGOは、わずか数日でインターネット上のあらゆるもの(ポルノを含む)よりも大きな話題になったようです。しかし、Googleの認証情報を使ってプレイする人にとって、重大なセキュリティリスクがあるようです。
フルアクセス
フルアクセス
セキュリティ会社 RedOwl の Adam Reeve 氏によって最初に発見された問題ですが、Google のログイン情報を使用してゲームをプレイする人は誰でも、Niantic とゲーム自体にアカウントへの完全なアクセス権を与えることになります。
以下はリーブ氏のブログ記事からの抜粋です。
はっきりさせておきますが、ポケモンGOとNianticは次のことができるようになりました。
すべてのメールを読む
メールを送信する
Google ドライブのすべてのドキュメントにアクセスする(削除も含む)
検索履歴とマップのナビゲーション履歴を確認する
Google フォトに保存されているすべてのプライベート写真にアクセスする
その他にも、さまざまな機能がありますさらに、メールを認証メカニズムとして使用すること(「パスワードを忘れた場合」のリンクなど)を考えると、他のサイトのアカウントにもアクセスできる可能性がかなり高くなります。
そして、開発者がこれを行う必要はありません。開発者は「Google でサインイン」機能を設定するときに、必要なアクセス レベルを指定します。ベスト プラクティス (および単純なロジック) では、実際に必要な最小限の情報、通常は単純な連絡先情報のみを要求するように指示されています。
これは確かに大きな懸念材料です。比較すると、Nianticの最初のゲームであるIngressでは、基本的なGoogleアカウントへのアクセスのみが要求されます。
現在、ゲームをプレイするにはGoogleの認証情報を入力するしかありません。ゲーム内ではポケモントレーナークラブのアカウントでサインインできると記載されていますが、そうしようとするとエラーメッセージが表示されます。
心配なら
心配なら
残念ながら、ゲームをプレイし始めたり、ポケモンを捕まえ続けたりしたい場合、できることはあまりありません。
ゲームの Google 認証情報へのアクセスを取り消したい場合は、こちらにアクセスし、「サインインとセキュリティ」セクションの「接続済みのアプリとサイト」を選択してください。
セキュリティ問題はNiantic側の悪意というよりは、むしろ不注意によるものだというリーブ氏の意見には私も同感です。しかし、特に人気が出てきていることもあり、同社が早急にこの問題に対処することを期待しています。
無料
ポケモンGO
ナイアンティック株式会社
無料
イングレス
ナイアンティック株式会社
