まだまだ続くブロッキング議論、なぜ進めたいのか？：セキュリティクラスタ まとめのまとめ 2018年10月版（3/3 ページ）

[山本洋介山（エヌ・ティ・ティ・コミュニケーションズ），＠IT]

JapanTaxiアプリ、タクシーを降りた後も情報を送信することが発覚

　2018年9月、トレンドマイクロのスマホアプリがWebブラウザの情報を不正に収集し、外部のサーバへ送信していた問題が発覚して大騒ぎになりました。10月25日には、タクシー配送に使用するアプリケーション「JapanTaxi」が、ユーザーの情報を不正に収集しているのではないかという指摘があり、騒ぎになりました。

【訂正：2018年11月12日午後13時30分】本記事の初出時、「中国のサーバへ送信していた」とありましたが、中国だと特定する根拠がありませんでした。お詫びして訂正いたします。該当箇所は既に修正済みです（編集部）。

　JapanTaxiアプリはスムーズにタクシーを配車するため、ユーザーの位置情報を送信しています。しかし、降車した後もしばらくは客の位置情報やスマホの利用状況を追いかけ続けていたというのです。

　これに対して、規約に書かれているから「オプトイン」でも問題ないのではないかという意見もありました。しかし、規約に書いてあるだけでは不足していて、重要な問題なのだから通知しなくてはダメだという意見や、規約には他社に送信されるとは書かれておらず、記述が不十分だという意見がありました。

　以前Uberのサービスでも似たような問題があり、騒動になったことを思い出していたツイートもありました。

　なお問題が明らかになった後、JapanTaxiは速やかに謝罪し、当該の機能を取り除したという発表がありました。すぐに騒動は収まりましたが、不信感を抱いてアプリを削除したユーザーも多かったようです。

　なおトレンドマイクロのアプリは、11月になってもアップルのApp Storeからダウンロードできないままです。

---

　この他にも10月のセキュリティクラスタは次のような話題で盛り上がっていました。11月はどのようなことが起きるのでしょうね。

• 「情報セキュリティワークショップ in 越後湯沢 2018」開催
• 2018年12月開催の「SECCON 2018」、オンライン予選が完了
• 「SOKAオンラインストア」などECサイトのフォームが書き換えられて2481人分のクレジットカード情報が盗まれる
• 携帯3社が共同で運営を開始した「＋メッセージ（プラスメッセージ）」のアプリ、証明書の検証を全くしてなかった
• Secure Shell（SSH）のライブラリ「libssh」に認証を迂回（うかい）できる脆弱（ぜいじゃく）性が発覚
• Wi-Fiルーターの83％で既知の脆弱性が放置されている（関連記事）
• ロシアが化学兵器禁止機関（OPCW）にサイバー攻撃を行う、オランダ当局が発表

著者プロフィール

山本洋介山（NTTコミュニケーションズ株式会社）

Webサイトの脆弱性を探す仕事の傍ら「twitterセキュリティネタまとめ」というブログを日々更新しているTwitterウォッチャー。たまにバグバウンティもしています。