Smoozというブラウザでは、その利用情報がすべて開発元のアスツール社に送信されている。
調べた事実を列挙してみる。
・デフォルトの設定では、設定・操作・閲覧情報がユーザーID、デバイスIDと共にアスツール社のサーバーへ送信されている
・検索窓に入力した文字は、検索ボタンを押さなくても、その内容が逐一アスツール社のサーバーへ送信されている
・検索内容がアダルト関連ワードかどうかがアスツール社のサーバーに送信され判定されている
・サービス利用データの提供設定をオフにしても、閲覧情報がアスツール社のサーバーに送信されている
・プライベートモードにしても、閲覧情報がアスツール社のサーバーに送信されている
・https通信であろうとも閲覧したURLは完全な形でアスツール社のサーバーに送信されている
様々な設定を調べたが、どのようにしても外部への閲覧情報送信を止めることはできなかった。
あなたが何を調べ、何を買おうとしているのか、何で遊び、どこへ行こうとしているのか。それらはあなたの知らぬ間に送信されている。
これらはCharles Proxyというアプリを使うことで、驚くほど簡単に調べることができる。そのあたりも含めて解説していきたい。
スマホユーザーが自分の情報を守るためにはとても重要なことなので、ぜひこれを読んでいるあなたにも使えるようになってほしいと思う。
Smoozのプライバシーポリシー
Smoozのプライバシーポリシーは、彼らがユーザーの情報を利用することを可能としている。
以下はアスツール社の示すプライバシーポリシーだ。
行動履歴情報の利用
当社は、行動履歴情報を、以下に示す目的の範囲内で、業務の遂行上必要な限りにおいて利用します。ユーザの属性や行動等の分析
ユーザの属性や行動に応じたコンテンツの表示等
当社のサービス・機能に関する効果の測定
当社のサービス・機能の開発
第三者等への分析結果の提供
彼らはこの条件を事前に示し、ユーザーであるあなたはこの条件に同意をしてアプリを使っている。
Smoozを使うというのは、あなたのプライバシーは常にアスツール社と共有するということだ。
そして彼らはあなたの情報を利用できる。重ねて言うがそれはユーザー自身が認めたことだ。
ポイ活の恐るべき沼
Smoozはアプリを使うだけでポイントが貯まることを売りにしている。ポイ活と呼び、『おトク』に釣られる人々を吸い寄せている。
Smoozでポイ活をするにはいくつか超えるべきハードルがある。
サービス利用データの提供設定をオンにした上で、指定の検索エンジンを使い、健全な単語を検索し(5回検索で1ポイント)、アカウントを作って初めてギフト券と交換できる。
順番に見ていこう。
・サービス利用データの提供設定
サービス利用データの提供設定をオンにすると情報が漏れてしまうことを心配するかもしれないが、オフにしても閲覧内容は全部送信されているのだから気にしなくとも良い。
というか、オフにしても止められないものが多すぎてよくわからないので、アスツール社はオフにすることで何の情報を送信しないようになるのかを示してほしい。
・指定した検索エンジン
これはアスツール社がGoogle(高速)と呼ぶものを使うようにデフォルトで設定されている。
最近始まった、この検索するだけでポイントが貯まる『Smoozポイント』は検索エンジンをGoogle(高速)に指定したときだけ付与される。なぜこの検索エンジンを指定したときだけポイントが貯まるのか。
アスツール社がGoogle(高速)と呼んでいるのは、Googleカスタム検索、現在は Programmable Search Engine というもので、Googleの検索結果に対してAdsenseやAnalyticsの設置ができる。(ドメインを確認するとcse.google.comとなっている)
これは広告収入を増やしたり、ユーザーの行動を解析する目的で使われているものだと私は理解している。
プログラム可能な検索エンジンとは – Programmable Search Engine ヘルプ
一方で、Smooz公式には以下のような説明がなされている。
「なぜ検索するだけで、ポイントが貯まるの?」と聞かれたのでお答えします。
Smoozは、下記のように収益を上げており、アプリが沢山使われれば使われるほど収益が増えます。
①アプリ内のフィード等に表示される広告
②プレミアムサービスの月額課金もっと沢山アプリを使ってもらうキッカケを作りたいと考え、上記の収益のうち一定の割合をポイントという形でユーザーさんに還元することにいたしました。
https://twitter.com/smoozjapan/status/1316560261742903296
以上が公式の説明だ。
アプリ内のフィード等に表示される広告や月額課金を還元することが目的であるならば、通常の使用に対して付与すればいいのだが、実際はそうはなっていない。アプリ内のフィードにもプレミアムサービスにも関係のない、Google(高速)を使ったときだけだ。
「Google(高速)で表示される広告はその一部がアスツール社の収益となる」と説明すれば納得してくれるユーザーも多いはずだが、彼らはそれをしなかった。
質問をするなら「なぜGoogle(高速)のときだけ、ポイントが貯まるの?」と聞かねば、ちゃんとした答えは返ってこないだろう。
ちなみにGoogle(高速)で表示される検索結果のソースを確認したところ、検索結果や広告のリンクに対して partner-pub-9506294364956844:6226613721 というIDが付与されていたことを付け加えておきたい。これはGoogleの公式コミュニティでYuichi Kato氏がMy Search Engine IDとして示したものと同一。(アスツール社のCEOは加藤雄一氏である)
Google(高速)で”iPhone”と検索したときのURLがこちら
このポイント還元が、広告や解析とは関係ないのであればアスツール社からの反論があるだろう。
・健全な単語を検索
サービス利用データの提供設定をオンにした上で、検索エンジンをGoogle(高速)に設定すると、Smoozのアドレスバーの左に数字が表示される。
5回で1ポイント、1日最大5ポイントなので、毎日検索を25回すると上限となる。
健全な単語を検索するたびに、左上の数字が増えていくが、アダルト関連の検索ワードではエラー表示に変わる。
通信内容を覗いてみると、検索ワードをアスツール社のサーバーに送信して、そのワードがふさわしいものであるかを判定しているのがわかる。また同じ単語を続けて検索したときもポイント付与にはならない。
アダルト関連の検索ワードだとjudgement_resultのスコアが増加する。(※スクショを撮り損ねていたので、この画像はpornとは別の検索ワードを使っています)
FAQを確認すると、不自然な検索をした場合にもポイント付与はしないと書かれていることからもわかるように、アスツール社はユーザーの検索行動を把握できることを示している。
・アカウントを作る
Smoozポイントをギフト券交換するためにはアカウントが必要になる。
アカウントがないと貯められるポイントの上限も低いはずだ。
アカウントを作成すると bookmark.api.smoozapp.com に対してメールアドレスなどの情報をやりとりしていることがわかる。
▼bookmark.api.smoozapp.comとの通信内容
アプリで使われるIDだけでなく、名前、メールアドレス、プロフィール画像SNSフォロー・フォロワー数などをやりとりしているようだ。
ちなみにここでのIDはおそらくダウンロード数であり、再インストールのたびに新しくなる。12月17日現在で239万程度のIDが割り振られている。これにより外部からでも正確なダウンロード数や増加ペースがわかるようになっているが、ここでバラしたからいずれ変更されるだろう。公式のブログには2020年12月に220万ダウンロードを突破と書かれているので、なかなかいいペースで伸びている。
アカウントを作ることの問題は、それまで匿名であったアスツール社に送信される行動履歴が、ポイントを交換するために一意のアカウント(名前やメールアドレス、SNSアカウント)と結びつけることが可能となってしまうことで、これまでどんなサイトを見ていたかという匿名の情報が、いきなり個人情報へと化けることになります。
ポイントに釣られて使い始めた人はみんなアカウントを作るだろうけど、アカウントを削除する方法はアプリ内に用意されていない。ログアウトすることができるだけ。
メールで問い合わせをして個人情報の削除を求めることができるらしいが、閲覧履歴やらを握っている人間に対してメールで削除要求するのってなかなかハード。
機械的な削除フローが用意されていないのはつらい。
その他の問題
・VPN通信での情報取り扱いはどうなっているか
これは調査に使用したアプリの性質上、VPNでの通信を把握するには至らなかった。
しかし、VPN通信でもユーザーの閲覧情報はアスツール社のサーバーに送信されていると考えるのが普通であろう。もしVPN通信でだけ閲覧情報が送信されていないのだとしたら、通常通信でなら閲覧情報を送信してかまわないという彼らの問題意識が明確になるだけだ。
VPNでは送信していないのならば、そうした説明がアスツール社からなされるはずだ。
・アプリに組み込まれたアドネットワーク
Smoozを使用すると、通信先サイトとアスツール社だけでなく、nendやZucks、ScaleOutといったアドネットワークに対して情報送信していることがわかる。
サービス利用データの提供設定をオフにしてもこれらは止めることができない。
ユーザーはどのような情報が第三者に提供されているかも知ることができないだけでなく、オプトアウトの方法さえ示されていない。
プライバシーポリシーには“当社は、行動履歴情報を第三者へ提供することがあります。”と書かれているだけで、実際に情報提供している会社について示すこともしていない。
「することがある」と「常にしている」ではまるで違う。
オプトアウトの手段と提供相手について開示すべきではないのか。
・検索内容の自動送信
検索にはサジェストという機能が使われています。
例えば「iPhone」と入力しただけで「iPhone 12」という検索ワード候補がでてくる。
その候補を出すためには、Googleサジェストというサービスが使われることが多いのですが、Smoozでも利用しており、 https://suggestqueries.google.com に対して入力内容が送信されていることが確認できます。これはごく普通のこと。
しかしそれとは別に、同様の通信が https://search.ads.api.smoozapp.com に対しても行われている。
この通信は検索ワードに対して もしもアフィリエイト を適用できるかの判定に使われているものです。
下の画像はapple watchと検索したときのもの。
▼apple watchを検索
キーボードのすぐ上に出ている丸いAmazonアイコンは通常のAmazonアソシエイトを使ったアフィリエイトリンクとなっており、その上に出ているApple WachをAmazonで探すという項目はもしもアフィリエイトのリンクになっている。アフィリエイトに利用できるかどうかの判定をするためだけに、入力内容がすべて(入力中のものまで)アスツール社に送信されてしまうことをユーザーは知らないだろう。
もちろん前項で示したように、検索した内容はこれ以外にも複数の方法でアスツール社へ送信されている。
アプリとプライバシー
iOS 14.3ではApp Storeにアプリのプライバシーがどうなっているかという項目が追加されるようになりました。
Smoozは以下のようになっています。
とても多くの情報を収拾していることが示されています。
Smoozの競合でもあるSkyLeapというブラウザアプリと比較してみよう。
広告や解析についてのトラッキングは含まれているが、Smoozと比較すると相当に控えめだ。
SkyLeapが素晴らしいのはそのプライバシーポリシーで、何のためにどの情報を取得するのか、どのサービスを利用しているのかを明確に示している点だ。こんなにわかりやすいプライバシーポリシーってめったに見ないので、アプリ開発者はぜひお手本にしてほしい。
https://sky-leap.jp/privacy/ios/
SkyLeapはDeNA社によるブラウザゲーム向けのアプリで、アスツール社のCEOも競合として意識していることを語っていたが、プライバシー表示についてはまるで勝負にならない。
もちろんプライバシーを本当に気にしているのなら、サードパーティーのブラウザではなくSafariを使うべきだ。
Smoozと他社ブラウザの比較
わかりやすい例として、無駄な情報がなく軽量さが有名な阿部寛さんのサイトを表示したときの違いを比べてみましょう。
Googleで阿部寛と検索した状態から計測スタートして、検索結果のリンクをタップしてサイトを表示したときに何が起こるかを見ていきます。
比較するのはSafari、SkyLeap、Smoozです。
iPadのSplitView機能を使い2つのアプリを同時に表示しています。
左側がブラウザ、右側が通信解析アプリになっており通信先の一覧が表示されます。
▼Smooz
いかにSmoozが外部と無駄な通信をしているかが一目瞭然となります。通信量にも差が出ていますね。
この中でも特に注目すべきは favicon.api.smoozapp.com に対しての通信内容です。
これはSmoozで何かしらのリンクを押すたびに発生する通信で、faviconのリクエストが飛んでいます。
阿部寛さんのサイトURL
http://abehiroshi.la.coocan.jp/
Smoozで発生する通信
https://favicon.api.smoozapp.com/icon?url=http://abehiroshi.la.coocan.jp/&size=32..120..500
本来は自分の端末から目的のサーバーに対してリクエストが送信されるものなので、外部のサーバーを経由してfaviconを取得することはありえないのですが、Smoozではリンクを踏むたびに、通信が必ずSmoozサーバーを経由するようになっているのです。
この例ではアルファベットのCというアイコンが favicon.api.smoozapp.com から取得されます。 coocan.jp だからCなのでしょう。
SmoozでAmazonの商品ページを見て、購入ボタンを押したときの挙動は知っておくべきでしょう。
ページを表示するたびに、表示しているページのURLが favicon.api.smoozapp.com に向けて完全な形で送信されています。
あなたが何を検索して、どのページを見たのか、どの商品を買ったのか。そうした情報がアスツール社のサーバーに送られています。
すべての行動が筒抜けになる。
彼らはそれを説明しない。
こんなことはまともではないです。
プライバシー保護を重視した検索エンジンであるDuckDuckGOもSmoozのデフォルトエンジンとして設定することができますが、残念ながらこれも検索・閲覧内容がアスツール社に送信されている。
これをfavicon取得のためだなんて説明されたとしても、まったく納得できるものではありません。
ユーザーの閲覧情報を無断で外部送信しているのですから、それなりの説明が必要になるでしょう。
アスツール社はユーザーのプライバシーをあまりにも軽視している。
通信内容調査アプリ
今回の調査ではCharles Proxyというアプリを使っています。
これはiPhoneを利用する上で最も優れたアプリの1つだと自信を持って紹介したい。
内容は中・上級者向けなので、なかなか紹介しにくいものですし、金額は1,100円と少し手が出にくい部類ですが、使ってみるとその価値に気付くことができるはずです。
アプリ開発者ではない一般人であろうとも、あなたの情報が詰まったあなたのスマホでなにが起きているかを突き止めるためにはCharles Proxyのようなアプリが必要となります。
それを調べるための出費なのですから、1,100円が高すぎるだなんて言わないでください。
スマホはどんどんと生活の中での重要性を増していく一方で、ブラックボックス化も進んできました。自分のスマホがどんな情報を送受信しているかだなんて、まるでわからないのが普通です。
だけど、ちょっとした出費と、ほんの少しのやる気さえあれば知ることができる。知ろうとしなければずっとブラックボックスのままです。
誰も通信内容を調べない状態が当たり前になると、Smoozのようなアプリが増えてきてしまいます。かつてAndroidで文字入力アプリのSimejiが入力内容を外部送信していたときも、調べてくれる人がいたから問題が発覚しました。
調査内容が公表されると怒る人がたくさん現れる。けれども自分で調べようとする人はほどんどいない。
でも、Charles Proxyを使えば、特別な準備は要らないし、あなたでもすぐに調べることができる。
怒るのは簡単だけど、私の書いていることが正しいかどうかを確認せずに怒ったりしないでください。
Charles Proxyは自分のスマホでどのような通信が行われているかを、自分自身で突き止めたいユーザーにとっては手放せないものとなるでしょう。なにせスマホ1つで通信の解析ができてしまうのだから、別途パソコンを用意しなくてはいけないWireSharkよりも利便性は上です。
そしてその利便性がさらに高まるのがiPadでの利用です。
スマホではバックグラウンドで使うことがほとんどですが、iPadの場合は2つのアプリが同時に使えるSplitViewのおかげで、ブラウザの動作と通信内容の解析が同時に比較できるようになりました。
このアプリのおかげで、思い立ったらほんの数分でhttps通信の内容まで解析できるようになったのです。
インストールから使い方まではすでに丁寧な紹介記事があるので、そちらを読んでください。
[iOS] Charles for iOSがリリースされたので試してみた | Developers.IO
パソコン版でiPhoneの通信を解析することもできます。
通信系のデバッグには Charles が便利 – Qiita
Charles Proxyを使ってSmoozの通信内容を解析する際に、ブラウザ以外の通信がバックグラウンドで行われているとその内容もここに出てきてしまうので、そうした余計な通信が含まれないように配慮して観測しなければなりません。
以下の項目を参考にしてください。
・バックグラウンドで起動しているアプリを終了させる
・設定アプリ → 一般 → Appのバックグラウンド更新をオフにする
・ウィジェットも外しておく
・無操作時に通信が発生していないことをCharles Proxyで確認してから開始する
・可能であればiPadのSplitViewを使う
・阿部寛さんのサイトは余計な通信が発生しないので、観察にとても有用(ホントに貴重)
Charles Proxyの結果は抜けや若干のラグのようなものも感じられるので、再現性にはすこし難があるようだ。
ただし表示された内容については信頼ができると考えています。
おわりに
Smoozはおすすめできない。
しかしその一方でファンは多く、アプリ内課金でのプレミアムプランは年額3,300円とかなり高額だが、ユーザーの満足度はおどろくほど高い。(プレミアムプランなら情報送信されないというわけではない)
最近ではアプリを通じて所定の検索を行うことでギフト券と交換可能なポイントが貯まるサービスや、旅行や買い物に対してポイント還元を行うなど、ユーザーに対して使うメリットがある戦略を打ち出してきている。アスツール社の仕掛けるSNSでのギフト券プレゼントキャンペーンや、招待コードでのDL報酬などもあり口コミは増大しているので、年内には250万DLも見えてきているだろう。
個人開発者ならサブスクの収益だけでもよかったのだろうが、会社を立ち上げてメンバーも増えたことで、より収益性の高い方向にシフトせざるを得なかったのだろう。
Appleによる2016年のベストApp10選にもなったSmoozがこんな状態になってしまったのは残念だ。
私がSmoozについて違和感を憶えたのは、この調査をするよりもずっと前からだ。
その理由をいくつか書いてみよう。
・プライバシーポリシーを読んだら、ユーザーの情報がどのように集められても文句が言えないような内容だったこと。
・アプリ内に表示される人気記事の一覧や、記事に対するコメントは、どうみてもはてなブックマークそのまんまだが、アプリのどこをみても「はてな」という文字は出てこないこと。
・広告非表示のポリシーをもつサイトに対しても、『おすすめ記事』という名目で、他人のWebコンテンツに対して別記事へのリンクや広告も付け加えてくること。(これをアプリのUIで行うのならまだ理解できるが、他人のWebコンテンツと一体に見えるように自分の広告を挿入してくるのは改ざんでしかない。他社サイトに対して勝手に自社コンテンツを混ぜ込んでも大丈夫だと思ってるならそれは大きな間違い。)
いくつもの不信感が積み重なって距離を取っていた。おかしな点はまだまだいくらだってあるが、終わりが見えなくなってくるのでこのあたりで締めたい。
明確なのはSmoozアプリを使う上で、設定の如何に関わらず、閲覧や検索情報の外部送信を防ぐことができないということです。
どんなページを閲覧しているかというのは、インターネットでも特に慎重に扱うべき情報であって、それが本人の知らないところで外部送信されているのは看過すべきではありません。
アドテク、アフィリエイト業界とべったりなのはもはや仕方ないが、せめてユーザーに対しては誠実であってほしいと願います。
※追記 当初社名をSmooz社と表記しておりましたが、アスツール社でした。訂正いたします。※
アスツール社からの声明が出されたので、それに対する記事を書きました。
続・国産ブラウザアプリSmoozはあなたの閲覧情報をすべて外部送信している
続・続・国産ブラウザアプリSmoozはあなたの閲覧情報をすべて外部送信している
【お知らせ】
阿部寛さん出演の映画 HOKUSAI は2021年5月公開予定です!
柳楽優弥さん、田中泯さんに阿部さんというなんとも贅沢な組み合わせ。
今日の音楽
セーラ服がトレードマークな4人組ダンス&ボーカルパフォーマンスユニット、新しい学校のリーダーズ。
彼女たちのことはどこかでちらっと見かけて、「また毛色の変わったアイドルが出てきたな」と思っていた。ミュージックビデオを見てもさほど引っかかっては来なかったのだが、今夏に公開された無観客ライブの映像を見て、そんな思いは吹き飛んだ。
彼女たちの踊りは歌の付属としてのダンスではなく、身体表現の一環としたパフォーマンスだ。
新しい学校のリーダーズ LIVE 2020.6.21 無観客LIVE on Thumva
1曲目の最終人類は作曲がH ZETT M、作詞がモーモールルギャバンという強い組み合わせ。
全身を使い、指先まで意思の込められたパフォーマンスは圧巻だ。ためやキメがバシバシ決まるので、どこを切り取っても格好いい。
やっていることは変なことばかりなので、イロモノに見えてしまうかもしれないが、全力のパフォーマンスは頭にこびりついて離れてくれなくなる。
16分過ぎから始まる新曲の恋文も素晴らしい。
登場シーンでメインボーカルが靴のまま他のメンバーの上に立つシーンがあって、「そんなことをさせたらメンバー間の軋轢が生まれるだけじゃないか」と事務所の方針を心配したんだけど、どうやら振り付けもすべて彼女たち自身で考えているらしく、杞憂だったみたいだ。
先日世界デビューも決まったそうで、これからの活躍が期待される。
あれだけキャラが立っていて、才能に溢れまくっている彼女たちが売れない未来は考えにくいね。
こんばんは。記事楽しみにしてました。まさかのSmoozとは、完全に予想外でした。
Smoozはグラブル向けブラウザとして有名なので、愛用しているユーザーも多そうですね。反発が強くなければいいのですが…。
僕自身グラブルユーザーなのと、以前Chales Proxyを購入して完全に持て余していたので、かなり刺さる内容でした。面白かったです。
同意すればなんでもアリっていうのはやめていただきたいね。
法律で縛るべき。
はてぶから来ました。素晴らしい記事ですね。
他の人も指摘している通りですが、このSmoozはグラブルユーザーに極めて高い評価をえています。
用途としては経験値稼ぎやマルチバトル参戦等ですが、これらをSmoozを使って行うプレイヤーはかなりやり込んでいるプレイヤー、つまりはかなり課金等をしているプレイヤーが多いです。初心者が使うものではありません。
故に、ソシャゲにそこそこ課金しやり込んでいるような人のデータもかなり集めている……となると、いろいろ悪役されてそうで恐ろしさを感じました。
とても参考になる記事でした。ありがとうございました。
一方中国は無断で情報を抜いた
プレミアムメンバーでしたがポイ活開始で不信感を抱き使用停止しました。
やっぱり…残念です。ソシャゲと相性がいいということで中国とも繋がってそうですね。怖
非常にためになる記事でした。
ありがとうございます。
今年、最も有益だった記事
中華アプリより日本製アプリの方が危ないじゃん
日本製アプリを排除すべき
まあ個人情報と引き換えに色々メリットあるなら、それもいいんじゃない?
Fiddlerみたいなmitm串が未脱獄端末単体で利用できるというのは便利ですね
結構高いから普及しなさそうなのが残念ですが
年額を払って使っていましたがポイ活が始まってから不信感がわいてきて使うのを止めていました。
情報ありがとうございます。
あんたすげーよ
ほんとすげー。