Android版「フォートナイト」にインストール乗っ取りの脆弱性、情報公開のタイミング巡りEpicがGoogle批判

[鈴木聖子，ITmedia]

　米Epic GamesがAndroid向けに配信しているバトルロイヤルゲーム「フォートナイト（Fortnite）」に脆弱性が発見され、Googleから連絡を受けたEpicが修正パッチを公開した。しかし、脆弱性情報を公開するタイミングをめぐってEpicは「Googleがユーザーを危険にさらした」と訴えている。

　FortniteはGoogleの公式ストア「Google Playストア」を経由せず、Epicの公式サイトを通じて配信されている。Googleが公開した脆弱性情報によれば、Fortnite InstallerによってFortnite APK（com.epicgames.fortnite）が外部ストレージにダウンロードされる仕組みだが、Samsungのデバイスでは、Fortnite Installerがデバイス上のアプリに乗っ取られ、偽のAPKが密かにインストールされてしまう恐れがあった。

FortniteはGoogleの公式ストア「Google Playストア」を経由せず、Epicの公式サイトを通じて配信されている

　この問題は2018年8月15日にGoogleからEpicに非公開で通知され、Epicは翌16日に脆弱性の存在を確認。17日には指摘された問題を修正するパッチを公開したことを明らかにした。この時点でEpicは、ユーザーのデバイスにパッチが行き渡る時間を与えるため、90日の間、今回の脆弱性に関する情報の公開を控えるようGoogleに求めた。

　しかしGoogleは25日、パッチが配信されてから7日間が経由したことを理由に、通常の慣行に従って閲覧制限を解除すると通告した。

　この経緯をめぐってEpic Gamesのティム・スウィーニー最高経営責任者（CEO）はTwitterで「アップデートが行き渡るまで公開を控えてほしいとGoogleに頼んだが、拒否された。同社は安いPRポイントを稼ぐため、Androidユーザーを不必要なリスクにさらした」と訴えている。

　さらにスウィーニーCEOは米Mashableに寄せたコメントで、「Googleのように強大な企業は、もっと責任ある情報公開のタイミングを図る必要がある。EpicがGoogle Playの外でFortniteを配信していることに対する反撃の宣伝目的で、ユーザーを危険にさらすことがあってはならない」と不満をぶつけている。