• 
• Check
• Tweet

今回はissyさんのブログ『Linux/CGP作業メモ』からご寄稿いただきました。

Viberが送信する情報のメモ
　Viberが利用者のアドレス帳情報をサーバに送信して保管するということなので、具体的にどんな内容が送信されているのか、登録から全てパケットキャプチャして確認してみた。暗号化されていたらわからないなと思っていたが、昨日の記事で電話番号が平文で送信されていたのでひょっとしたらと予想した通り、Viberは登録時にほぼ全ての情報をhttpで平文のまま流通させていた。せっかく素晴らしいソフトなのに残念なことだと思う。
【12/23追記】Viber社のCEO Talmon Marco氏があるブログの懸念に回答をしていたので最後部に追記。

キャプチャで判明したこと
・登録で通信するサーバはwa.viber.com
・NYのミッドタウンセンターにあるNetVision社のIP
・Webサーバはngnix Webアプリはphp
・User-Agent: Viber/1.0.95906 CFNetwork/485.12.7 Darwin/10.4.0
・登録時にクライアントから送信される項目
　RegisterUserRequest
　PhoneNumber
　PushToken
　CountryIDDCode
　UDID
　DeviceType
　SystemVersion
　ViberVersion
・アクティベートがOKになるとアドレス帳が送信される
　送信はTCP4244宛て平文
　送信先はAmazon EC2上にあるサーバ
　送信内容は連絡先アプリ内の登録情報全員分
　送信項目は　「姓、名、携帯番号、着信音設定値」
　他の入力項目は送信されていないように見える
　※当初送信項目を「性、名、携帯番号、着信音設定値」としていましたが、漢字の変換ミスです。iPhoneの連絡先の登録項目には標準では性(性別)という項目はありません。

所感
　3G接続を前提にしているとはいえ、せめてSSLは利用してもらいたいと思う。アドレス帳を項目は限定されているとは言え、全てネット上に平文で送信するのはどうかと思う。たしかにアプリの設定時にアドレス帳へのアクセスは許可しているが、通常それはアプリケーションがローカルでアクセスすることを想定し、情報がネット上にアップロードされることを許可しているつもりまではないと思われる。仕様上必須なのであれば「アドレス帳のデータをViberサーバにコピーするが構わないか？」という問いかけで許可を得るのが適切だと思う。Viberのサイト上のポリシーにはサーバ上にコピーする旨が明記されているが、アプリをダウンロードして設定するまでの間に、それに気付く機会がないのでは片手落ちだと思われる。Viber自体は非常に優れたアプリケーションだと思うので、告知内容の見直しや、登録時や架電時の通信内容の暗号化はぜひとも対応してもらいたい。
　Viberはユーザの意図しないところで、アドレス帳情報を外部送信していると見られても仕方ない状況だと感じる。一般の人は個々の判断でViberをどのように利用するか判断すればいいと思うが、少なくともアドレス帳に入っている友人知人の情報（一部）が、TRUSTe等の比較的信頼のある個人情報保護体制認定プログラムを取得していると明示されていない外国企業に流れていることは自覚しておく必要がある。もしＰマーク等の個人情報保護体制認定プログラムの適用事業者に勤務している場合には、業務上利用しているiPhoneにViberはインストールしてはいけない。アドレス帳に取引先や従業員情報が入っていた場合、法人としてViber社と適切な契約状況になければ情報漏えいに該当すると判断される可能性が否定できない。おそらくEU辺りからViber社はいろいろ突っ込みをもらうことになるのではないかと推測する。その改善後には安心して利用できるようになるかもしれないと思う。

Viber社
http://www.viber.com/
Viber社プライバシーポリシー
http://www.viber.com/privacypolicy.html

【12/23追記】
　Viberの情報の取扱いについて以下のblogが12/04に懸念を表明したところViber社のCEO Talmon Marco氏から12/10 16:02のコメントで回答があった。その一部に気になる発言があったのでメモしておく。

　Agmon Dot Com / Privacy 101 or Why You Should Not Use iPhone App Viber

　http://blog.agmon.com/2010/12/04/why-i-will-not-install-viber/

　アドレス帳を送信していることについては、アドレス帳でなく名前と電話番号のみだ（we actually do not send the entire address book, we only send names and phone numbers）と回答している。blogではアドレス帳の全ての詳細が送信されているとしている（They now know practically every detail of your phone book.）ことからこの反論は妥当と思う。正確には着信音設定も送信されているのだが、プライバシー項目に相当しないという観点から述べられていない可能がある。電話番号と名前をセットで送信している理由としては、Push通知する時に電話番号だけではない方がいいと判断しているから（We send the names associated with the numbers because otherwise we won’t know what to write in the push notification and will have to send something like +12125551212 is calling you. Not good.）だそうだ。これはある程度理解できるが、だとすれば事前告知で適切に説明すべきと思う。

　個人情報が第３者に提供されることについては、パートナーと共有する可能性があること（Yes, we may share information with partners in order to provide the service.）を明確にしているが、例示としてSMS配送会社との共有を出しており（For example, we share your phone number with an SMS delivery company in order to send you a text message.）、規約を修正して明示する（I do believe that we can make this clause clearer. We will fix it.）としている。規約へのより適切な明示は歓迎すべきところではあるが、例示されたSMS配送会社への共有というのは、やや不安感を伴うものであり、Viber社がどのような信頼性評価をするのかわからないが、今後SMS配送会社経由でSMSスパムが送信されてくるかもしれない懸念を感じざるを得ない。第３者提供の可否について個別のオプトアウトを可能にしてもらいたいと思う。

　通話記録を残していること（their privacy agreement states that they collect and log all your phone calls）については、特別な言及はなかった。ViberではP2Pでの通信が前提なのでiPhoneで3G回線同士で通話する限り通話内容をViberサーバに残すことはできない。サーバに残るのはプライバシーポリシーにはViber ID, phone number, 端末識別コードUDIDとなっている（hese logs contain your internal Viber identification which is a combination of your account identification (i.e., your phone number) and Apple Unique Device Identification (“UDID”) or Android Device ID.）ので、通信事業者？としては妥当なものだと思われる。ただ保存目的や保存期間の明示がないのは残念だと思う。

　コメントの最後に、ポジティブなレビューと同じくらい製品とポリシーの改善に役立つから批評について歓迎する（Anyway, we welcome the critiques – they help us improve our product and our policies as much as we are happy about the positive reviews we get.）と書いてある。CEOが直接個人blogにコメント返信するなど、今ではあまり驚くことでもないかもしれないが、真摯に回答がされることはやはり素晴らしいと思う。

　一方、自分で記事を書いてやはり暗号化されてないことが非常に気になったので、12/18にViber社のサポートに暗号化のリクエストを出してみたのだが、受付された旨の表示にはなっているものの12/23現在全く進捗がない。12/17に投稿されている別人からの暗号化通話のリクエストにも何も進展がないように見える。（なぜ自分のリクエスト投稿は公開されていないのか不明、カテゴリが違うのか？）年末が近くもしかしたら既にクリスマス休暇で稼働していない可能性もあるが、CEOの対応はなかなか興味深いのに、通常あるべきサポートのレスポンスが残念に見えてしまう。リクエストへのレスポンスがあったら、またこちらに追記していこうと思う。

執筆： この記事はissyさんのブログ『Linux/CGP作業メモ』からご寄稿いただきました。最新情報は転載元のブログにてご確認お願いします。

文責： ガジェット通信
※写真はViberウェブサイトより。

■最近の注目記事
iPhone同士で無料通話できるアプリ『Viber』が凄い！　これを使えば通話料節約
30代の“家離れせず・できず”は相当に深刻
ドコモの携帯から『Gmail』にメールを送ると“音符”の絵文字が“うんこ”になる
ディープ・インパクト後を予測する
「貧乏人は故郷を捨てろ」か