Last Updated:April 30,2024
連邦取引委員会によるモバイル・ビジネス事業者が開発するモバイルAppに対するセキュリテイ・チェックはわが国に比べきわめて厳しい内容である。これら事業者のカテゴリーも映画のチケット販売業者であるFandangoや個人信用情報提供ニュービジネスであるCredit Karma等が対象になってきている。
去る8月19日、 FTCは被申立人たるFandango とCredit Karmaに対する責任を明示した最終和解命令(final orders settling:Decision and Order) (筆者注1)につき承認した旨リリースした。
これらのニュービジネスの中身もさることながら、筆者が見て共通的な問題点は(1)セキュリテイ対策の不十分性と(2)消費者向けの説明文言の不適格性である。
これらの問題点は実はわが国の類似の事業者でもきわめて共通的に見られる内容であり、わが国の監督機関の不十分性を補完するとともに、個別企業に対する警告という意味で本ブログをまとめた。
FTCの両社との間の最終和解命令にかかるリリース文は、きわめて簡潔に2社の問題と最終和解命令の内容を説明している。そこで本ブログは実務面からFandangoに対する告訴状の内容を詳しく紹介すべく仮訳するとともに、今後20年間にわたる具体的法令遵守、職員・子会社等への徹底、FTCへの報告義務等を概観するものである。
なお、Credit Karmaのニュー・ビジネス自体についても、個人情報保護やプライバシー保護の観点から念入りに検証すべき問題と考えるが、それ自体が大きなテーマなので概要のみ取り上げる。
1.被申立人Fandangoに対する告訴状
(1)FTC最終合意命令にいたる経緯
FTCサイト「Fandango, LLC」が次のとおりまとめている。
○2014年3月28日:FTCとFandangoの同意命令を含む合意文書(Agreement Containing Consent Order)
(2)FTC最終合意命令に関する文書
○2014年8月19日: FTCの最終申立書
FTCが告発する事実関係・Fandango自体が擁するセキュリテイ上の問題を正確に理解するため、申立書の主要部を仮訳しておく。
1,2は略す。
・・・・・・・・・・・・・・・・・・
Fandangoのビジネス実践内容からみた問題点
3.Fandangoは、消費者が映画の切符、ショータイムを見たり、トレーラ- (筆者注2) 、およびレビュー(映画批評)を購入できるウェブサイトとモバイルアプリケーションを提供している。
4. Fandangoは、2009年3月にアップルInc.のための同社が開発するオぺレーション・システムであるiOSに対応した「Fandango Moviesアプリケーション」を開発・起動した。
2010年12月に、FandangoはアプリケーションのiPadバージョンを起動した。Fandangoは、iTunes Appストア (筆者注3) を通してアプリケーションを配布した。そこでは、アップル・コマーシャル(itunes)で同アプリケーションを特集する「 #1:映画のチケット発売業者」として記載されている。iTunes Appストアでは、娯楽カテゴリーにおけるトップ10の無料のアプリケーションの中にFandango Moviesをリストアップしている。同アプリケーションは1,850万回以上ダウンロードされている。
5. Fandango Moviesアプリケーションのインストールは無料であるが、fandangoは消費者が映画の切符を購入する時にサービス料金を課す。2013年8月の時点で、Fandangoの総チケット売上高の20パーセントはiOSのモバイルアプリケーションの利用顧客から得ている。
6.Fandango Moviesは、消費者にすでにFandangoアカウントがあるかどうかにかかわらず消費者に映画の切符を購入させる。消費者がチケットを購入するとき、Moviesアプリケーションは、クレジットカードで支払うためにオプションを含む支払い方法の選択を提供する。消費者は、今後の使用のための携帯デバイスの彼らのクレジットカード情報を保存するのを選ぶことができる。
ユーザがチケットを購入する都度、クレジットカード番号を入れるかまたは以前にデバイスに保存されたカード内情報を選択することで、Fandango MoviesアプリはFandangoのサーバーに「カード番号」、「セキュリティ・コード」、「有効期限」および「請求書送付郵便番号」等消費者のクレジットカード情報を伝える。 消費者が、Fandango Moviesアプリケーションで、Fandangoアカウンを作成するか、またはログインするのを選ぶ時は、同アプリケーションはFandangoのサーバに、Eメールアドレスとパスワードを含む消費者の認証資格証明書(authentication credentials)を送信する。
セキュリティソケットレイヤー(SSL)証明済認証(Secure Sockets Layer Certificate Validation)
7.消費者は頻繁に公衆無線LAN(public Wi-Fi )ネットワークを利用すべく、喫茶店、ショッピングセンター、空港などでモバイル・アプリケーションを使用する。 消費者はそのような公共の環境下でFandango Moviesアプリケーションを使用できる。 実際に、同アプリを起動させた時、Fandangoは消費者向けの広報文言として「外出時でも米国中の約1万6000個以上のスクリーン映画と劇場情報に絶えずアクセスでき、そのチケットの購入ができる」と謳い、Fandango MoviesアプリケーションをPRした。
8.オンライン・サービスでは、消費者との正統かつ暗号化された接続を証明するのにしばしばセキュリティ・ソケット・レイヤー("SSL")プロトコルを使用する。 正当なオンライン接続を認証し、暗号化するために、SSLは「SSL証明書」と呼ばれる電子文書に依存する。
9.モバイルアプリケーションの文脈では、オンライン・サービス(例えば、Fandango)は、サービサーの本物性(identity)を保証するために消費者のデバイス(例えば、Fandango Movies)におけるアプリケーションにSSL証明書付きである旨を表示する。 次に、事実上、オンラインサービスの本物性について確認するため、アプリケーションはアプリケーションが真性のオンラインサービスに接続することであるのを保証するためにSSL証明書を有効にしなければならない。 この過程を完了した後に、オンラインサービスと消費者のデバイスにインストールされたアプリケーションは、認証されて、暗号化された安全な接続を確立できるのである。
10.もしアプリケーションがこのプロセスを完全に実行できないとするなら、攻撃者は、無効の証明書をアプリケーションに提示することによって、消費者のデバイスにおけるアプリケーションとオンラインサービスの間に自分を置くかもしれない。 このアプリケーションは、攻撃者がアプリケーションとオンラインサービスとのすべてのコミュニケーションを解読するか、モニターするかまたは変更するのを許容してアプリケーションと攻撃者の間に無効の証明書を受け入れるという取引関係を築くことになる。 このタイプのサイバー攻撃は「中間者攻撃(man-in-the-middle attack)」 (筆者注4) と して知られている。 アプリケーションを使用している消費者もオンラインサービス業者も攻撃者の存在をうまく検出できなかった。
11. 多くの公衆無線ネットワークでは、攻撃者は中間者攻撃を容易にするのによく知られる「なりすまし技術(spoof techniques)」を使用する。
12. これらの攻撃から守るために、SSLを使用することで安全な接続を創造するようにアプリケーションを許容するインタフェース(「API」) (筆者注5) に準拠しながら、iOSオペレーティングシステムはアプリケーションを開発者に提供する。 初期設定で、アプリケーションに提示されたSSL証明書が無効であるなら、これらのAPIは、SSL証明書を有効にして、接続を拒絶する。
13.iOS開発者ドキュメンテーションは、開発者が初期化時の有効設定を無効にするか、またはそうでなければ、SSL証明書を有効にすることができないのを避けるように警告する。その目的は、「有効としないと、あなたが安全な接続を使用することから得られるいかなる利益も除去する」と説明している。
結果として無効設定による接続では、にせのサーバ接続によりだますことからの保護を全く提供しないため、非暗号化されたHTTPで要求通信を送る場合に比べ安全面で劣る。
14.アプリケーションの開発者は、この点につき無料または低価格で公的な形で利用可能なSSL証明書の有効化につき簡単なテストおよび脆弱性の特定が可能である。
Fandangoの十分なセキュリテイ検査の不履行
15. 2009年3月から2013年3月の間、iOS用Fandango Moviesアプリケーションは、iOS APIによって提供された初期設定を無効とし、SSL証明書を有効としなかった。
16. 2013年3月以前においては、Fandangoは自社の開発アプリケーションがSSL証明書を有効化し、安全な形で消費者の機密個人情報を通信しているのを確たるものとするため必要といえるFandango Moviesアプリケーションを検査しなかった。 Fandangoは、2011年から提供開始したアプリケーションの限られた範囲のセキュリティ監査を行ったが、iOSアプリケーションの公開の2年以上後において、応答者Fandangoはこれらのセキュリティ監査の範囲をデバイスに対し「コードが逆コンパイル (筆者注6) されるか、または非アセンブルされる」、すなわち、脅威が単にそうした攻撃者から起こって物理的アクセスであるときに提示された問題に限定した。その結果、これらの監査ではクレジットカード情報を含むiOSアプリケーションの情報伝送が、安全であるかどうかを査定・評価しなかった。
17.そのうえ、Fandangoはセキュリテイに関する明確な脆弱性報告を受け取る有効なチャンネルを明確に公表せず、かつ従業員に徐々に脆弱性意識を拡大する代わりに一般的な顧客サービスシステムによる対処をあてにした。
2012年12月に、セキュリティー研究者は、顧客サービスのウェブフォームを通してSSL証明書を有効にしていないので、iOSアプリケーションが中間者攻撃に被害を受け易いことをFandangoに知らせた。このセキュリティー研究者のメッセージが「パスワード」という用語を含んでいたので、パスワードリセットが自動メッセージで要求して、返答したとき、Fandangoの顧客サービスシステムは、どうパスワードをリセットするかに関する指示を研究者に提供しながら、メッセージに旗を揚げさせた。 次に、Fandangoの顧客サービスシステムは、「解決済」として、セキュリティー研究者の警告メッセージをマークして、更なる調査のためにその情報の検討を深化させなかった。
18. FTCの専門スタッフがFandangoにこの経緯等を連絡した後、FandangoはiOSのFandango Moviesアプリケーションを検査して、同アプリケーションがSSL証明書を有効にしてないことを確認した。また、ファンダンゴは、脆弱性がFandangoが第三者のために開発して、かつ主催した別々のiOS映画チケット発行アプリケーションに影響したことを見出した。 FTCのスタッフによって連絡された後3週間以内にFandangoは、iOS APIの既定の設定を修復することによって、SSL証明書の有効化を可能にした両方のiOSアプリケーションのアップデート版を発行した。その結果、セキュリティの脆弱性は修正された。
19.本告訴の被申立人(Respondent:Fandango)は、共に、モバイルアプリケーションの開発およびメインテナンスにおける以下の内容を含む合理的、適切なセキュリティを提供しないという多くの問題ある慣習に取り組んでいた。
a。 iOS APIによってSSL証明書有効化の欠陥を補うため安全化のための他のセキュリティ策を実装せずに提供された初期化時SSL証明書有効化設定を無効化した。
b。 機密の個人情報の伝達が確実に安全となることに失敗するのを含んだ適切なテスト、アプリケーションを監査するか、評価するか、または批評することの保証に失敗した。
c。 セキュリティの脆弱性の関する第三者からのレポートを受け取ったり取り組むといった適切なプロセスを維持するのを怠った。
20.これらのFandangoのセキュリテイ検査の失策の結果、攻撃者は、ネットワーク・トラフィックの出力先の変更(redirect)、傍受・妨害、非暗号化、監視・モニタリング、アプリケーションまたはアプリケーションに通信される「クレジットカード番号」、「セキュリテイコード」、「有効期限」および「請求書送付郵便番号」情報の変更ができ得た。
この、クレジットカード情報や認証資格証明書(autentication credentials)の悪用は成りすまし、金銭的被害、保有する個人情報の漏洩やその他のオンラインサービスや関連する消費者の損害を引き起こすものである。
21.Fandangoは、単にデフォルトSSL証明書合法有効化設定を実装することによって実際の費用をかけずにこれらの脆弱性を防ぎ、またクレジットカード情報を含む消費者の機密個人情報の安全な伝達を確実にしえたたかもしれない。
Fandangoのプライバシーとセキュリティに関する説明表示問題(Fandango's Privacy and Security Representations)
22. ひろめられかつ迷惑がかけられたFandangoは、広めるか、または保存されまたアプリケーションを介して伝送されたクレジットカードやアカウント情報のセキュリテイに関し以下のアプリ内の表現が消費者に広めさせられた。
「あなたのFandango iPhone Applicationは、あなたのデバイス内に関するクレジットカードとFandangoアカウント情報を保存させるため、あなたは便利に映画の切符を購入できるようになる。あなたの情報は、あなたの使用端末に確実に保存され、各取引の間、あなたの承認を持って送信される。」
23.今後、消費者がFandango Moviesアプリケーションを利用して、チケットを購入する旨「買う」というオプションを選んだ時は、希望するなら消費者のクレジットカード情報につき装置内を格納されるため、利用者は今後安全なチケットを購入するにのあたりアカウント作成は不要である。
Fandangoが行った欺瞞的な表示(Fandango's Deceptive Reperesentations)
24. Paragraphs22と23で説明したとおりFandangoは明示または暗黙のうちにiOSとしてのFandango Moviesアプリケーションでチケット購買に妥当で適切なセキュリティを提供すると表示していた。
25.実際のところ事実、Paragraphs7から21の間で述べた多くの例で詳しく説明したとおり、FandangoはiOS用のFandango Moviesアプリケーションでされたチケット購買に関し合理的でかつ適切なセキュリティ措置を提供していなかった。 したがって、Paragraph24に詳しく説明したFandangoの表現は、誤っているか、または誤った情報を与えているといえる。
申し立てられるとしてのこの苦情に関し、被申立人Fandangoの行為と商慣行は、連邦取引委員会法(15 U.S.C. §45(a))のセクション5(a)違反「不公正または欺瞞的な行為または慣行(unfair or deceptive acts or practices)または影響を受ける商取引」に該当するものである。
○2014年8月19日:FTCの最終合意決定(Consent Order)
○ 〃 :コメント者(デラウェア州 Mirta Collazo )に対する礼状 (筆者注7) (筆者注8)
2.被申立人Credit Karmaの告訴内容、経緯FTC最終合意命令にいたる経緯
(1)FTCサイト「Credit Karma,LLC」が次のとおりまとめている。仮訳は略す。
○2014年3月28日:FTCとCredit Karmaの同意命令を含む合意文書(Agreement Containing Consent Order)
○2014年8月19日:最終申立書
○ 〃 :FTCの最終合意決定(Consent Order;Decision and Order)
○ 〃 コメント者8名に対する礼状、なお当然であるが文面は描くコメント内容に応じて異なる点は言うまでもない。
(2)Credit Karmaのビジネス・スキーム
わが国で詳しく論じているサイトは少ない。その最大の理由はわが国でも与信にあたりスコアリング・システムはあるが、米国のスコアリング・システムと比較するとその機能は大きく異なる。すなわち「クレジットカードを新規に作成する際、日本では勤務先や年収、家族構成、持ち家の有無等から個人の信用力が評価されるのに対して、米国では公共料金や医療費、金融機関からの支払い請求に対して、これまでいかに健全な返済を行ってきたかの実績(クレジットヒストリ)が信用評価の主な対象である。・・・個人のクレジットスコアは、旧来はクレジットカードン作成や融資の申請時に参照されるだけのものであったが、近年では融資以外の与信に関わる様々な場面でクレジットスコアが利用されるようになってきた。各種ローンの金利、保険の料率計算を始め、住宅の賃貸や売買における不動産仲介、携帯電話の新規購入、果ては就職面接に至るまでクレジットスコアが参照されている。・・・個人の信用プライバシー尊重と信用情報開示を求める世論の高まりを受け、1996年の法改正(FCR法)により本人に限り有料で開示請求が行えるようになった。そして、2003年12月には、自分の信用情報を年1回は無料で参照できる権利などを定めた法律(FACT法)が成立し、2004年12月の西部を皮切りに、2005年9月からは全米規模で、より簡易にクレジットレポートが取得できる社会基盤が整えられたのである。」(筆者注9)
しかし、データ主体がこれら信用情報機関から自身のスコアリング情報を得ようとするとき、手続きは決して容易ではない。その隙間を狙ったニュービジネスがCredit Karmaなのである。
ここで、Credit Karmaサイトから事業内容に関する部分を抜粋して、仮訳しておく。一読して理解しがたい内容といえる。 (筆者注10)
Credit Karmaは、あなたのクレジットスコアーを追跡する新しい方法とそこから得られる利益を得るユニークな方法を提供する。初めてあなたは隠れた費用や義務を伴わずに真に無料によるクレジットスコアを得ることができる。あなたのスコアに基づき、あなたはあなたの信用力を評価する会社に排他的な申込のアクセス権を得る。・・・・当社のサービスは無料のクレジットスコアを得ることで始まる。クレジットカードや文字列(strings)の添付は不要である。当社は、もしあなたが当社の別のサービスを利用する場合に関わらず、あなたのプライバシーを保護する最善の措置をもってこれらの無料のスコア提供を続けるでしょう。
・・・あなたが無料のスコアーにアクセスするとき、当社はあなたのクレジットプロファイルに基づき個人的な申込内容を示すことになる。この申込は顧客を力ずけることに付きビジョンを共有する広告主からなされる。あなたがCredit Karma利用の優位性を望むなら、それはあなた次第です。当社はあなたの同意なしに共有はしません。・・・当社が送信するメッセージはパートナー会社からの一方向通信で送るものです。広告パートナーは個人化された申込を提供し、当社は適切な人のみが扱うかたちで照合させます。この申込に消費者が回答しない限りユーザー情報の開示は行いません。消費者の理解がないまま個人情報の売買を行って、その後で情報を追いかけてきた伝統的なクレジットマーケテイングと異なり、当社は消費者に権利と選択権を与えるのです。
3.FTCのIT事業者に対する同意命令についての関連情報
2013年12月5日、FTCは「スマートフォンのアンドロイド・フラッシュ・アプリ(Brightest Flashlight)の開発事業者(Goldenshores Technologies,LLC)が消費者の同意なしに位置情報を第三者に提供し消費者を欺いたとされた事件で連邦取引委員会と同意命令(Android Flashlight App Developer Settles FTC Charges It Deceived Consumers:‘Brightest Flashlight’ App Shared Users’ Location, Device ID Without Consumers’ Knowledge」で合意したと報じている。
超光懐中電灯無料アプリ(GoldenShores Technologies, LLC )のURL:https://play.google.com/store/apps/details?id=goldenshorestechnologies.brightestflashlight.free&hl=ja
*******************************************************************************
(筆者注1) FTCの法執行手順については、例えば、「消費者庁 アメリカ、カナダ、ドイツ、フランス、ブラジルにおける集団的消費者被害の回復制度に関する調査報告書 第1章 各国の制度および状況 1.アメリカ調査報告」が詳しく解説している。その中で、次の解説が参考になるため一部引用する。
「FTCがとりうるエンフォースメント手段は、手続的に分類すると、大きく行政手続である審判(同意命令(consent order)がある。・・・同意命令の手続を利用することによっても、審判手続を経て排除措置命令が発せられた場合と同様の効果が得られる。もっとも、同意命令手続においては、相手方に責任があることを認めなくてよい点が異なる。・・・同意命令は、一種の和解(consent agreement settlements)であるとされている」
(筆者注2) ”trailer”とは映画、テレビ等の予告編を見せる前宣伝のこと。
(筆者注3) iTunes Store(アイチューンズ・ストア)は、アップルが運営している音楽配信、動画配信、映画配信、映画レンタル、アプリケーション提供などを行うコンテンツ配信サービスである。(Wikipedia から引用)
(筆者注4)「中間者攻撃」問題につき、筆者は2006年7月23日ブログで取り上げている。より専門的な解説としては情報セキュリテイソリューション専門会社カスペルスキーの解説やe-Wordsの解説が基本となろう。
(筆者注5) APIとは、あるコンピュータプログラム(ソフトウェア)の機能や管理するデータなどを、外部の他のプログラムから呼び出して利用するための手順やデータ形式などを定めた規約のこと。
個々のソフトウェアの開発者が毎回すべての機能をゼロから開発するのは困難で無駄が多いため、多くのソフトウェアが共通して利用する機能は、OSやミドルウェアな どの形でまとめて提供されている。そのような汎用的な機能を呼び出して利用するための手続きを定めたものがAPIで、個々の開発者はAPIに従って機能を 呼び出す短いプログラムを記述するだけで、自分でプログラミングすることなくその機能を利用したソフトウェアを作成することができる。(e-Wordsより引用)
(筆者注6) 逆コンパイル( decompile )とは、機械語で書かれたオブジェクトコードを、コンパイラ型言語によるソースコードに変換すること。そのためのソフトウェアは逆コンパイラと呼ばれる。(e-Wordsより引用)
(筆者注7) パブリック・コメントに対するFTCの回答文書(仮訳しておく)
親愛なるCollazo様(デラウェア州):
標記に関し、現在進めている本委員会で提案された合意命令に関するコメントをありがとうございます。あなたのコメントは、Fandango、LLCが自社のセキュリティ面の不十分性に気づかず、同時にあなたの自身個人情報のセキュリティに関する懸念を表します。
本委員会は、あなたにとってセキュリティが非常に重要であることを理解しています。今回委員会に提案された同意審決内容は、Fandango、LLCが包括的安全保障プログラムを実行すること、特に今後20年間の本命令の有効期間の間、独立した第三者機関による2年に一度の検査・査定を得るのを必要とした。 これらの要件は、あなたの個人情報が将来保護されるのを確実にするのを助けことになるでしょう。
本委員会はFTCの提案された同意審決のご支援に感謝します。 委員会のRules of Practice 4.9(b)(6)(ii)(16C.F.R.§4.9(b)(6)(ii))(筆者注3)に応じて、本委員会は公的記録に関するあなたのコメントを置きました。本委員会は、現在、最終形態としてまったく修正なしでComplaint、DecisionおよびOrderを発行することにより公益に役立つのが最も良いことを決定しました。最終的なDecision、Orderおよび他の関連材料は本委員会のウェブサイトから利用可能です。本委員会は、重ねてあなたのコメントにつきあなたに感謝いたします。
(筆者注8) FTCの「Rules of Practice(施行規則)」は、FTCがどのように組織化され、その調査手続き、行政手続きおよび司法手続きに関する行動原則を記述する。
(筆者注9) 野村総合研究所 角田充弘「消費者個人の信用力指標、米国のクレジットスコア」から一部引用。なお、同レポートは最後に「クレジットスコアに対するID窃盗の脅威」をFACT法との関連で述べている。今回のCredit Karmaのappのセキュリテイの脆弱性の指摘の背景が理解できよう。
(筆者注10) Credit Karmaのビジネススキームについてわが国での解説例を2つ引用する。
○Finance Startupsの2012.9.10 「カードの信用情報を簡単にチェックできる Credit Karma がす げー伸びてる」の解説
「普通の広告ではなく、保険やローンの切り替えや特典の利用といったものだ。 しかも、カードの信用情報というかなり重要な個人情報をベースにマッチングを行なっているので、金融商品の広告には とても相性が良い。2007年5月に創業し、2011年の9月時点で合計300万ドルを調達、既に年商570万ドルを達成している。」
「無料で自分のクレジットスコアが知りたいユーザーはCredit Karmaにソーシャルセキュリティーナンバーを登録します。ソーシャルセキュリティーナンバーとはアメリカ国民の個人識別番号で、この情報をもとに Credit Karmaは金融機関から集めた情報をかけ合わせてスコアを計算し、ユーザーにスコアを上げるアドバイスと共にクレジットスコアを通知します。
クレジットカード、ローン、保険商品などを扱う金融機関は通常の広告よりも精度の高い情報をCredit Karmaのユーザーに届ける対価として広告料を支払います。」
*************************************************************:::*****************
Copyright © 2006-2014 芦田勝(Masaru Ashida).All rights reserved. You may display or print the content for your use only.
You may not sell publish, distribute, re-transmit or otherwise provide access to the content of this document.
コメント
コメントを投稿