アサルトリリィ Last Bullet（ラスバレ）は利用者に無断でSentryに情報を送信している

ポケラボのゲーム『アサルトリリィ Last Bullet』（ラスバレ）の通信をキャプチャしたところ、利用者に無断でSentryに情報を送信していることを発見した。

ラスバレを巡っては、昨年9月にも利用者に無断でFacebookやNew Relicに情報を送信することが確認されている。

昨年9月の時点ではSentryへの情報送信は確認されていなかったのだが、11月に入ってパケットキャプチャを行っている際に偶然不審な通信を発見し、元を辿ったところ、今回の件が判明した。

通信内容

以下がPC(DMM GAMES)版ラスバレVer.2.21.0での通信をWindowsのmitmproxyでキャプチャしたものになる。本来はラスバレの利用規約に反する内容だが、公益性を鑑みて公開する。

キャプチャ内容のスクリーンショット（一部モザイク加工）

この中で、OSバージョン、CPUの型番、GPUの型番、RAM、バッテリー充電状態、コンピュータ名（NetBIOS名）などをSentryに送信していた。

Windows 7のコンピュータ名はデフォルトで「（アカウント名）-PC」となるため、アカウント名に本名を設定して、そのままWindows 10にアップグレードしている場合は、送信される情報に本名も含まれることになる。

これらに加えて、ユーザーアプリがSentryのドメインとやりとりする関係上、当然Sentry側はユーザーのIPアドレスも知得できることになる。IPアドレスは利用者追跡に利用可能なプライバシー性の高い情報になる。EUのGDPRではIPアドレスを明確に個人データと位置付けている。

Sentryとは

Application Monitoring and Error Tracking Software

Sentryとは、アプリケーションモニタリング及びエラートラッキングソフトウェアである。ユーザーの利用環境情報を収集したり、ユーザーIDと紐付けたり、ユーザーの行動記録をタイムラインで振り返ることができるようだ。

Sentryでイベントログ収集をしよう！ - Vue.js編 - - Qiita

プライバシーポリシー

こうした情報の送信自体は珍しいものではないが、問題はこれが利用者の同意なく無断で行われているという点だ。

ラスバレのPC版プライバシーポリシーには従来「Google Analytics」による情報収集の記載しかなかったはずで、WEB上に公開されているPC版プライバシーポリシーを改めて確認してもSentryについては何も記載されていないのだが、アプリ内で確認できるPC版プライバシーポリシーを確認したところ、Sentyに関する記載がこっそり追記されていることが分かった。

WEB上のPC版プライバシーポリシー（2021年1月4日制定）

アプリ内のPC版プライバシーポリシー（2021年11月2日改定）

本来この2つは全く同じ内容でなければならないのだが、よく見るとアプリ内の方には末尾に「2021年11月2日改定」と記載されているので、この時にSentryに関する記載を追加したものの、WEB上のプライバシーポリシーの更新を忘れているのだろう。

以前にもラスバレの利用規約がアプリ内とWEB上で異なるということがあったが、またしても同じようなミスを犯している。

しかも今回悪質なのは、この変更を利用者に通知していなかったことだ。プライバシーポリシーには重要な変更を行う際に告知をすると記載されているが、2021年11月の改定に際してそのような告知はなかった。

4. 通知・公表又は同意取得の方法、利用者関与の方法
i. 通知・公表
本ポリシーは、初回起動時の画面及び本アプリ内の説明ページのほか、DMMGAMES Platformの本アプリダウンロードページに設置されたプライバシーポリシーリンクに掲示・公表しております。当社は本ポリシーを変更することがあり、重要な変更を行う際は本アプリ内又は各掲示箇所において告知いたします。変更後の本ポリシーは、本アプリ内又は各掲示箇所に掲示された時点から適用されるものとします。

昨年3月にリリィパスポート「赤」「金」の実装に合わせて利用規約が一部改訂された際にはアプリ起動時に再同意を求めるダイアログが表示されたのだが、今回はそういった再同意プロセスも、変更前の事前予告も、変更後の事後報告もなかったため、Sentyによる情報収集を認識している利用者はほとんどいないのではないかと思われる。

ポケラボには速やかに正しい説明と是正を求めたい。

おまけ

リプライを投げたら公式Twitterにブロックされた。