公衆無線LAN「コネクトフリー」、ユーザー情報を無断収集していたとして謝罪

　コネクトフリー株式会社は6日、同社の公衆無線LANサービス「コネクトフリー」において、利用者のFacebookやTwitterのアカウントなどを無断で取得し、利用者が閲覧したページに対してGoogle Analyticsのスクリプトの自動的な埋め込みや、Amazonのアフィリエイトリンクの書き換えを行なっていたとして、事態を説明するとともに謝罪した。

　コネクトフリーでは、飲食店などに無線LANアクセスポイントをレンタル提供し、来客者に対しては無料でインターネット接続サービスを提供する代わりに、利用者の閲覧ページ中に飲食店の情報などを表示するバナーを自動的に埋め込むサービスを展開している。

　セキュリティ研究者の高木浩光氏らが5日、このバナーに含まれるスクリプト中で、利用者がFacebookやTwitterのサイトにアクセスした場合に、ウェブページからFacebookやTwitterのアカウント情報を取得し、コネクトフリーのサーバーに送信していたことを指摘。また、ユーザーが閲覧しているウェブページに対して、Google Analyticsのトラッキングスクリプトを埋め込んでいたことや、AmazonのアフィリエイトリンクをコネクトフリーのIDに書き換える行為を行なっていたことなども指摘されていた。

　コネクトフリーでは、サービスの実施にあたり、利用者の端末のMACアドレス、FacebookとTwitterのアカウント、端末のユーザーエージェント情報、アクセス期間、閲覧しているURLを取得していた。FacebookとTwitterのアカウントについては「簡易に把握できるセキュリティ強化のための情報として、自動的に取得していた」と説明している。

　また、Google Analyticsは「ユニークユーザー数の把握のため」に用いており、Amazonアフィリエイトリンクの書き換えについては特定の1店舗のみで試験的に実施したものだと説明。これら取得した情報は第三者に開示したことは無く、その他の目的でも使用していないが、事前の承諾無しに情報を収集したことで利用者に不安を与えてしまったとして、謝罪した。

　コネクトフリーでは指摘を受け、Google Analyticsの利用や、Facebook/Twitterアカウントの取得、Amazonアフィリエイトプログラムのテスト運用を中止するとともに、自動的に保存されていたMACアドレスなどのログの削除を5日に実施。ユーザーからの問い合わせ用のメールアドレスを用意し、調査内容や今後の対応についてはコネクトフリーのサイトなどで随時報告するとしている。