前回Facebookの大きなデータ漏洩があってから約1か月が経ちましたが、新たな情報流出が報じられています。サイバー犯罪者が悪意あるブラウザー拡張機能を利用して数千万規模の人々のデータを収集し、その中にはプライベートなメッセージも含まれていると見られます。
何が起きたのか
BBCは、Facebook利用者1億2000万人分の個人データを1アカウントあたり10セントで販売するとの情報が、あるオンラインフォーラムに掲載されていたと伝えました。このデータの価値を証明するために、データの一部(25.7万人分)が見える状態になっており、そのうち3分の1にあたる約8.1万人分のデータにはプライベートなメッセージも含まれていました。
1億2000万アカウントが露出の危機にあるとの主張は、流出したとされるデータベースの完全版を見ることができない以上、裏付けも反証もできません。しかし、同データを確認したBBC のジャーナリストは、情報流出が事実であることをさまざまな情報が示唆しているようだと述べています。
1か月前のFacebookからの情報流出との関係は
見たところ、約1か月前に起きたFacebookからの情報流出とは関係なさそうです。そのときの情報流出はFacebookの脆弱性を悪用したものであり、データを一気に盗み出すタイプのものでした。しかし今回は、コンピューターの持ち主自身がインストールした悪意あるブラウザー拡張機能を通じて情報が集められており、状況が異なります。
悪意あるブラウザー拡張機能とは何か
拡張機能(プラグイン、アドオンとも呼ばれる)とは、ブラウザーの機能を拡張する目的でブラウザーに「追加」でインストールされる、小さなプログラムです。例としては、ブラウザーのインターフェイスを変更するツールバーやアドブロッカーなどがあります。問題は、こうした拡張機能はブラウザーが利用者に対して表示するコンテンツをすべて見る(または変更する)ことができる点、それも往々にして通常操作の一環として可能であるという点です。
そのため、ブラウザー拡張機能は利用者のオンラインでの動きを追跡し、さまざまなデータを集めることができます。今回の件はFacebookページから集められたデータが問題となっていますが、原則として、どのような情報でもこの方法で盗み出すことが可能です。たとえばバンキングデータも、こうした問題と無縁ではありません。詳細は過去記事『ブラウザーの拡張機能に注意が必要な理由』をご覧ください。
しかしながら、今回のFacebookデータ流出で使用されたのはどの拡張機能なのか不明であり、今後も明らかになることはないかもしれません。他のデータも盗まれた可能性もありますが、実際のところはまだ明らかではありません。
本件を受け、現時点では以下の対策をお勧めします。
- ブラウザー拡張機能を軽く考えず、見境なくインストールしないようにする。近年では価値のある情報のほとんどが一握りのWebサイトを通じて入手可能ですし、拡張機能はそこにアクセスすることができます。
- オンラインでプライベートなやりとりをする場合には、十分に用心する。思った以上にプライベートではないかもしれません。