SNSでプライバシーが保護されているか、チェックしてみよう!

SNSに自分のことをあまり投稿していないつもりでも、SNSはあなたについていろいろと知っています。自分のプライバシーをどれくらい守れているか確認できるツールを、Kaspersky Lab社員が試してみました。

social-networks-privacy-featured

ざっくり言って、私たちは皆、SNSが好きです。人によっては「大好き」のレベルに達しているかもしれません。えっ、お好きではない?なぜ?SNSでは、友達とも、家族とも、同僚や世界中の見知らぬ人とも、信じられないくらい簡単につながるようになるではないですか。しかも無料で。

「商品が無料ということは、あなた自身が商品ということだ」という格言があります。これは確かに懸念です。が、プライバシーを保護する方法は何かしらあるはず…では?

では実際のところ、SNSにおけるあなたや私のプライバシーは、どの程度保たれているのでしょうか。

GoogleやFacebookは、利用者に対して「プライバシーチェックを実施しましょう」「世界の皆さんと共有してもいい情報を確認して共有範囲を設定し直しましょう」と定期的に呼び掛けています。当ブログでも、この話は過去に取り上げました。

変更可能なプライバシー設定を知っておくのは、それはそれでいいのですが、SNSサイトでどのような利用者情報が収集されているのかについては、あまり取り上げられません。ご存じかと思いますが、GoogleやSNSは巨大なデータ倉庫です。収集したデータを使って広告をきめ細かく調整し、企業からは割増料金を取って、届けたい利用者へと広告をプッシュしています。

Facebookが知っていること

先日、私はProPublicaに掲載された記事(英語)について同僚と雑談していました。その記事は、Facebook内部の仕組みを解き明かし、Facebookがどんな利用者情報を持っているのかを明らかにするツールを開発した、という内容です。好奇心をそそられた私は、そのツール(Chromeプラグイン)をインストールして試してみました。

結果、ProPublicaのツールとFacebookの広告エンジンは、私が何者なのかきちんと把握していることがわかりました。しかし、それよりも興味深かったのは、私の「生活」について、このツールやエンジンがわかったつもりでいた内容です。

jeff-facebook-odd

たとえば、上の図は私の趣味やアクティビティを列挙した画面ですが、妙なものが多少混じっていました。Fresh Stepの猫砂、Norton Motorcycle Company、BFGoodrich Tires、など…。ここ数年ネコは飼っていませんし、Norton Motorcycle Companyは何のことかさっぱりわかりません。こういった会社に関係しているリンクをクリックしてしまったか、でなければ誰かが何かのフォームへ入力するときに私のメールアドレス(それか、私に関係する何らかの情報)を使ったかして、その情報が入ったデータベースをFacebookが購入したのではないか、というのが私の推測ですが。

全体的に言って、一定のタイプの広告が表示される理由を確認するのには、なかなかよいツールです。たとえば、子供を授かったばかりの女性が妊娠について検索したら、その人の興味をそそるような、子育てに関する広告が表示される可能性が高くなるでしょう。ちなみに、Facebookの広告表示設定ページで、あなたが興味を持っていると勘違いされているトピックを削除すると、表示される広告の関連性をアップさせることができます。ただし、Facebookの広告データベース作りに結果として一役買うことになりますが。

ブラウズ履歴をさかのぼってTwitterを突き止める

ProPublicaのツールを試した日、Kaspersky Labグローバル調査分析チーム(GReAT)のライアン・ナレイン(Ryan Naraine)のツイートが目に留まりました。

(Twitterをよく見る人は、Webの閲覧履歴から本人が特定されてしまうかもしれない)

ライアンのシェアしているリンク先では、閲覧履歴だけで私個人を特定できるというサイト(英語)が紹介されていました。このテストでは、閲覧履歴だけで80%を特定できるというのです。私はTwitterをしょっちゅう使っているので、これはもう、試すしかありません。

自分は特定可能な80%の1人だろうな、と思いつつテスト(スタンフォード大学の研究の一環とのこと)を進めていったところ、驚きの結果が出ました。まさかの「特定できず」です。以下が、「私」かもしれないと判定されたTwitterユーザーの一覧です。

jeff-twitter-footprint

私のTwitter名は@jeffespoです。ご参考まで

このテストでは私を特定できませんでしたが、私かもしれないとされた候補の中には、同僚が何人かいました。このテスト結果をネタにTwitter上で彼らと盛り上がりましたが、やはり気になるので、このテストを受けてみてほしいと何人かの同僚に頼んでみました。

この話に乗ってくれた同僚3人のうち、2人が特定されました。素性が特定されなかったのは、もう1人の同僚と私です。

したがって、Kaspersky Labで実施したプチ調査では、このスタンフォード大学のテストの正答率は50%に留まりました。しかし、さらに興味深いのは、特定できなかった場合でも、可能性のあるTwitterユーザーとしてKaspersky Labの社員がリストアップされていたことです。私たちがマニアックすぎるせいか、または同じようなサイトにアクセスして似たような情報をシェアしているからではないでしょうか。

mimoso-twitter-footprint

@Mike_Mimosoは見事、特定されました

Threatpostでは、この調査グループにインタビューしています。

「Webを閲覧しているときにどのくらいの情報が洩れるのか、興味がありました」と述べたのは、スタンフォード大学経営科学・工学科助教授、シャラド・ゴエル(Sharad Goel)氏。ゴエル氏は、同大学の学生、アンシュ・シュクラ(Ansh Shukla)氏、ジェシカ・スー(Jessica Su)氏、プリンストン大学教授アーヴィンド・ナラヤナン(Arvind Narayanan)氏とともに、このテスト「Footprints」を開発しました。「私たちは、プライバシーポリシーに対する意識を高め、知ってもらいたいと考えています。これは、あくまでも学術的実演です。このテストを多くの人に使ってもらいたいという意図はなく、主たる目的は意識の向上です」(ゴエル氏)

さて、最初の質問に戻りましょう。あなたの場合、SNSでどのくらいプライバシーが守られているでしょうか?

ヒント

Windows Downdate攻撃から身を守る方法

Windows Downdateは、最新バージョンのOSを古いバージョンにロールバックさせ、脆弱性が残る状態を復活させ、攻撃者がシステムを容易に侵害できるような状態にする攻撃です。この攻撃のリスクを低減するにはどうしたらよいでしょうか?