ハーバー・ビジネス・オンラインというWebメディアのLINE叩き記事が酷い

久々に「これは……!」と思った酷い記事を見つけたのでここに晒そうと思う。みんな!燃料だよ!!

hbol.jp (魚拓 1, 2)

「LINEが韓国製」はまぁ置いとこう。「母体のNAVERは韓国だからLINEも当然韓国製」と言って聞く耳を持たない方々にとっては、多くの日本人が開発に関わっていたとして主張を曲げる気はないのだからここでは議論しない。

酷いのは、技術的に無知を曝け出しながら、なかなかの超理論で疑惑を報じている点だ。

カカオトークのことは知らないので本記事では言及しない

この記事内で客観的に見て事実と認められること

酷い記事、と書いたが、確かに事実も書かれている。

Facebookが情報をお漏らししちゃったこと

ユーザー約5000万人分の個人情報が不正流出した問題で揺れるアメリカのFacebook

まずは1行目。誰も疑問を投げる余地はないだろう。

連絡先へのアクセスを求められること

LINEやカカオトークのようなメッセンジャーアプリをインストールする際には、「連絡先へのアクセスを許可しますか。」とポップアップ画面が出てくる。

ここも正しい。LINEユーザーならほぼ皆が知っていることだ。

Android 4.0までは連絡先のREAD権限で通話履歴にもアクセスできること

現にアンドロイド運営体制(OS)のうち、4.0バージョンまでは連絡先へのアクセスを許可すると、そのアプリ内での通話やメールへのアクセスが自動的に許可されていた。アンドロイドは、この問題に対しOS4.1バージョンで修正し、セキュリティ面が大幅に強化された。

「アンドロイド運営体制(OS)」というなかなかのパワーワードが登場したが、一旦スルーしよう。事実として、Android 4.0までは確かに android.permission.READ_CONTACTSパーミッションで通話履歴にはアクセスできた。

放送通信委員会が捜査を開始したこと

韓国の通信政策を主管する「放送通信委員会」は先月末、フェイスブックやインスタグラム、カカオトーク、LINEなど、国内外の主要なソーシャルネットワーキングサービス事業者の個人情報収集関連適正性に関する実態捜査に着手すると明らかにした。

ここは記事内で2つソースが示されているので、おそらく事実なのだろう。

(その2記事もこの記事同様の問題が見受けられるが)

「連絡先へのアクセスを許可しますか?」に対する警鐘

Facebookでも流出被害を受けている日本のユーザーは、「連絡先へのアクセスを許可しますか」の問いに対して「許可する」というボタンの重みをいまいちど再認識すべきだ。

個人的な意見としては、LINEという「通話・トークアプリ」を使っていて、企業にはその人のLINE上の利用データが何かしらの形で渡っているのだから、SMSや通話履歴の流出の可能性を気にする前に考えるべきことがあるのではないかと思う。
とはいえ、純粋に連絡先へのアクセスをホイホイ許可すること自体が危険なことであるという意味で「事実」に分類した。

事実かどうかわからないこと

LINEが電話履歴にアクセスしていたか

肝心のここについては正直私にはわからない。

LINEの全てのバージョンの全ての挙動を見たわけではないので、断言しないのが正しい判断かと思う。

ただ客観的事実を述べると、LINE Security Bug Bounty Programという試みを2015年から行っている。全世界のセキュリティエンジニアによってバグ・脆弱性を探索されているわけで、それ以降個人情報を収集していたという事実はないのではないかと私は思う。

それ以前の話をすると、2015年時点のバージョンで「targetSdkVersionがまだ11だった( READ_CONTACTS で電話へのアクセスは可能)」という事実はある。ただし、互換性の関係で16以降に上げにくかった可能性は十分考えられるので、必ずしも怪しいというわけではない。

Android 4.0に対するテクニカルサポートが2017年10月まで行われた

アプリを提供するGoogleはアンドロイド4.0に対するテクニカルサポートを、昨年10月まで実施しており、さまざまなアプリがOS4.0でも利用可能だ。

ここは本当に何を根拠に言っているのか分からないので、誰か教えてください……

事実ではないこと、ミスリードを誘う箇所

「連絡先へのアクセス」を許可した場合「メール」を見れること

多分著者は2つ誤解をしている。まず、 android.permission.READ_CONTACTSパーミッションではSMS履歴にアクセスはできない(はず、違ったらご指摘ください)。
2つめは、SMS、メール、トークを混同していることだ。

1つめの誤解を補足する。勘違いの原因はおそらくソースとなっている民衆の声にあると思うのでそちらを引用する。

앞서 외신들은 트위터 이용자 딜런 맥케이(Dylan Mckay)가 공개한 자료를 인용해 페이스북이 안드로이드 단말기에서 페이스북 활동 기록 외에 음성통화 이력과 문자메시지 데이터를 수집해왔다고 보도했다. 맥케이가 공개한 증거에 따르면 통화한 사람 이름과 전화번호, 통화 시간, 날짜 등이 기록된다.

Google翻訳: 前外信はツイッター利用者ディラン・マッケイ(Dylan Mckay)が公開した資料を引用して、FacebookAndroid端末では、Facebookの活動記録のほか、音声通話履歴やテキストメッセージのデータを収集してきたと報じた。マッケイが公開した証拠によると、通話した人の名前と電話番号、通話時間、日付などが記録される。

この記述からSMSにもアクセスできると判断したのだと思う。しかしソースのツイートはそこまでのことは述べていない。

これは予想だが、Facebook Messengerは android.permission.READ_SMS パーミッションを持つので、そこから盗られたのだと思う。

しかしLINEはSMS履歴にアクセスする READ_SMS の権限を持っていない。そのためアクセスは不可なはずだ。

SMS、メール、トークを混同しているのは論外なので割愛する。ここで述べるべきは上のツイートの通りSMSである。

Android 4.0で使える連絡先権限のあるアプリは全てトーク履歴にもアクセスできるかのような記述

確かに昔のAndroidは、6.0になるまでパーミッションはゼロか全てかの世界だったので、「簡易的な許可を得るだけで」様々なパーミッションが手に入ってしまった。しかし、 READ_CONTACT が許可されたからといってSMSにアクセスはできないし、通話履歴もtargetSdkVersionが16以上になっていれば、minSdkVersionが15以下でもこのようなアクセスは不可能である。(利用者がAndroid 4.1以上の場合)

参考ドキュメント

LINEが「GoogleのOSセキュリティ強化に歩調を合わせていないアプリ」であるかのような記述

調べてみたところ、2016年時点でminSdkVersionが15, targetSdkVersionが19に、2017年頭にはtargetSdkVersionは23になっていた。決して素早い対応ではないかもしれないが、許容範囲だろう。

アプリの危険度を判断できないという記述

ダウンロードする安易さとは裏腹に、アプリの危険度を判断できる材料は少ない。

動くものがそこにあるのだから、解析すればわかる。「全てはNAVERのみぞ知る」かのように書かれているが、Androidアプリでそのような挙動を見つけることは、隠すことよりもよっぽど楽だと思う。

断片的な情報を以て悪であるかのように書いていること

著者は「LINEは悪である」という結論ありきでこの記事を書いたのではなかろうか。

上で論じたように、少なくとも現在はLINEが連絡先へのアクセス権を利用して通話履歴やSMS履歴にアクセスはしていない。

また、以前は通話履歴にアクセスできる状態だったのは確かだが、実際使う必要があったからそのようになっていたのも事実である。その時点で疑うのは「包丁を持っているから殺人犯の可能性がある」と言っているのと大差ない。もう少し事実を集めて主張すべきではなかろうか。

余談:メディアについて

この記事を読んで、ハーバー・ビジネス・オンラインとは一体どんな会社が運営しているのかと思ったら、フジサンケイグループの扶桑社とのことだった。

フジサンケイ扶桑社がハーバードビジネスレビューのパクリサイト?

確かに「バーバード・ビジネス・レビュー」と勘違いさせる気がありそうだ。

おまけ:用語的な誤り

アンドロイド運営体制(OS)

Android OSのことらしい。

「基本ソフト」というのは聞くが、「運営体制」と訳すのは流石に聞いたことがない。確かに直訳すると運営体制だが、それはもはや別物を指しているだろう。

4.0バージョン、OS4.1バージョン、OS4.0

細かい性格なので、この表記は無性に背中が痒くなった。

メール、トーク

著者はSMSという言葉を知らないんじゃないかと疑ってしまう。

フェイスブックFacebook

これは誤りではないが、同一記事内でこのような表記が混在しているのを見るに、校正が行き届いていないのではないかと疑う。