Facebook、10のしくじり

Facebook利用者のセキュリティやプライバシーに関わる、10の問題

世界各地に利用者を抱える巨大SNSプラットフォーム、Facebook。近年はプライバシーに関するさまざまな問題が指摘され、利用者の個人情報の取り扱いを巡って連邦政府の捜査を受けています(英語記事)。こうした事態へ至ったこれまでの問題とはどのようなものだったのか、順番に振り返ってみます。

1. Cambridge Analytica:すべての始まり

すべてはCambridge Analyticaのスキャンダルから始まりました。2018年初め、私たち利用者がFacebookでシェアしているデータや意見を第三者が無断で使用可能であることが、初めて明るみに出ました。Cambridge AnalyticaがFacebook利用者5,000万人のデータを収集して政治的支援活動に使用していたことは、世界に衝撃を与えましたが、それは始まりにすぎませんでした。この件の詳細については、こちらの記事にまとまっています。

2. Facebookのアクセストークンが盗まれる

その半年後、Facebookは新たなスキャンダルに見舞われました。何者かがFacebookの脆弱性を悪用し、多数のFacebook利用者のアクセストークンを盗んだのです(アクセストークンとは、ログインしたままにするためのデジタルキーのようなものです)。

トークンを盗まれた利用者は、合計3,000万人に上ります。犯人は、そのうち1,500万人の名前と連絡先の詳細にアクセスしました。1,400万人については、利用者に関するより詳しい情報やFacebookでの活動を見ることが可能でした。残り100万人の情報に関しては、一切手を触れませんでした。こうしてFacebookの利用者は、Facebookが強固に守られているわけではなく、自分が何も悪いことをしていなくてもアカウントがごっそり盗まれる可能性があることを知りました。

3. FacebookとInstagramのパスワードがさらされる

また別の一件では、FacebookとInstagramの利用者数億人が影響を受けました。2019年初め、Facebookは、FacebookとInstagramのアカウントのパスワードの一部を平文(判読可能な状態)で保存していたことを認めました。これらのパスワードを見ることができたのは従業員だけで、アクセス権の不正使用はなかったとFacebookは主張しています。

この時点で、影響を受けた利用者の正確な数は明らかにされていませんでした。同社は当初、Facebook Liteの利用者数億人、Facebookの利用者数千万人、Instagramの利用者数万人がこの問題の影響を受けたとの見解を示していました。1か月後には、問題(すでに修正済み)の影響を受けたInstagram利用者は数万人ではなく数百万人であったと情報を修正しています。

4. Instagramのパスワードが再びさらされる

パスワードが漏洩した可能性をInstagram利用者が知ったのは、実はこれが初めてではありませんでした。時系列的には前後してしまいますが、前述の件の数か月前、Instagramの「データをダウンロード」機能にセキュリティ上の不具合(英語記事)があり、Instagramのパスワードの一部が誤って漏洩した可能性のあったことが明らかになっていたのです(この問題はすでに修正済み)。この機能を使うためにログイン情報を入力すると、入力したパスワードがWebブラウザーのURLに挿入され、Facebookのサーバーに(このときも)平文で格納されていたのでした。

5. Facebook、メールのパスワードを要求し、連絡先情報を収集する

Facebookは、利用者150万人のメールの連絡先情報を無断で収集していました。実際は、もう少し複雑な話です。Facebookは一部の新規登録者に対し、身元確認のためにメールアカウントのパスワードの入力を要求していました(英語)。パスワードを入力すると、「importing contacts(連絡先をインポート中)」というメッセージが現れます。このニュースが報じられたとき、多くの人はエイプリルフールのネタだと思いました。個人的なメールへのアクセス権を第三者に与えるなど、経験豊富なネット利用者には想像すらできないことでした。残念ながら、これはジョークではありませんでした。多くの人が、言われたとおりパスワードを提供しました。

Facebookは、利用者のメール内容にはアクセスしていない、意図せずメールの連絡先リストを手に入れてしまっただけである、と断言しています(英語記事)。連絡先リストを収集された利用者の数は合計150万人でしたが、各リストに数百件ずつ連絡先が登録されていたとしたら、こうして集められた連絡先の総数は、最終的に数千万件に上る可能性があります。Facebookは、このデータを広告のターゲティング効率向上、Facebookのソーシャルコネクション網の構築、利用者への新しい友達のお勧めに使用したと述べています。

6. 広告主向けツールとしての2段階認証

アカウントを保護したいという気持ちは誰にでもあります。そのためには、2段階認証が理想的な方法に思えます。しかし、ここにも問題が潜んでいます。たとえば、Facebookアカウントで2段階認証を有効にするときに入力した電話番号は、自動的にあなたのプロフィールに関連づけられます。これを無効にするオプションはありません。そのため、Facebookにアカウントを持っているかどうかにかかわらず、誰でもこの電話番号を基にあなたのプロフィールを検索(英語記事)できるのです。おまけ:Facebookは、この番号を広告のターゲットとしていた可能性があります(英語記事)。

7. 広告主が、あなたの連絡先にアクセスする

先の項目で触れたとおり、FacebookとInstagramは、利用者が Facebookに保存してもいない連絡先情報に広告主がアクセスすることを許可していました(英語記事)。つまり、広告主は、私たち自身が「基本データ」ページに入力した連絡先情報(メールアドレスや電話番号)だけでなく、ほかのデータも使ってターゲティング広告を表示していたのです(おそらく今も)。

このデータには、2段階認証用に入力した電話番号や、ディスカウントを受けたりこっそりオンラインショッピングをしたりするときに使っているメールアドレス(いわゆる「捨てメアド」)が含まれる可能性があります。また、これまでFacebookで電話番号を入力したことがなくても、あなたの連絡先リストに登録されている誰かが、自分の連絡先リストをFacebookと共有(同期)した場合、または「友達を見つけるため」にFacebookへアップロードした場合、その人の連絡先リストにあなたの電話番号が含まれていたならば、広告主はその番号を使ってあなた向けにターゲット広告を配信できるようになります。

8. さらに多くのFacebook情報が広告主に共有される

Facebookがパートナー企業に対する影響力の行使に利用者データを利用していた(英語記事)ことが、リークされた内部文書によって明らかになりました。たとえば、Facebookで相当額の広告費を使っていたAmazonは、利用者の名前やメールアドレスを、利用者の友達を経由して入手することができました(英語記事)。このほか、Sony、Microsoftなどの企業も同じような恩恵を受けていました。

Microsoftの検索エンジンであるBingは事実上、Facebookの友達全員の名前を、利用者の許可なく見ることを許されていました。Netflix、Spotify、Royal Bank of Canadaは、Facebook利用者のプライベートなメッセージを読み、書き、削除し、さらにスレッドへの参加者全員を見る権利を与えられていました。Appleのデバイスは、利用者の連絡先情報やカレンダーの項目にアクセスできました(アカウントの設定であらゆる共有をオフにしてあっても同様)。

この件に関与した企業は、アクセスしたデータを乱用したことはないと述べており、そのような「権利の拡大」に気づいていなかったとする企業もあります。

9. Facebook Marketplaceが売り主の正確な位置情報を漏洩する

Facebook Marketplaceの不具合(すでに修正済み)により、売り主の正確な位置情報(緯度と経度の正確な座標)が露呈していました(英語記事)。もっと言えば、商品のありかが丸わかりの状態だったのです。Facebookにログインしなくても位置情報を確認可能だったため、Marketplaceを「泥棒のための買い物リスト」と呼ぶ人もいました。この不具合を特に気にしたのは、高級自転車の出品者でした。高級自転車は犯罪者にとって非常にうまみのある商品であり、出品者の居場所が明らかになることで、犯罪者に自転車を渡したも同然だったからです。

10. Facebookのデータが、第三者の手によって漏洩する

Facebook利用者の情報を含む2つのデータベースが、公開状態でインターネット上に発見されました(英語記事)。データは平文で保存され、誰でもアクセスやダウンロードが可能でした。一方のデータベースは、かなり前に使われなくなった「At the Pool」というFacebookのゲームアプリから得られたものでした。もう一方は、中南米全域で活動するメキシコのメディア企業、Cultura Colectivaが所有するデータベースで、5億4000万件を超えるデータが含まれていました。これらのデータベースに含まれていたのは、利用者の名前とメールアドレス、友達リスト、「いいね」やコメントの内容など、利用者の嗜好や興味の分析に役立つ情報でした。

いずれも特別に機密性の高い情報ではなく、また、この漏洩にFacebookのスタッフはまったく関与していませんでした。それでも、Facebookは第三者とどのように利用者情報を共有しているのだろうという疑問を(再び)呼び起こすものではあります。

ここまで読んでどんな感想を持つかは、人それぞれだと思います。プライバシーと利便性に関する議論は、世界各地で続いています。なお、参考までに、Facebookアカウントの削除方法についてはこちらの記事で紹介しています。判断は、あなた次第です。

ヒント

Windows Downdate攻撃から身を守る方法

Windows Downdateは、最新バージョンのOSを古いバージョンにロールバックさせ、脆弱性が残る状態を復活させ、攻撃者がシステムを容易に侵害できるような状態にする攻撃です。この攻撃のリスクを低減するにはどうしたらよいでしょうか?