Facebookの5,000万人分のユーザー情報が流出していた可能性があることが、9月28日(米国時間)に明らかになった。プロフィールの「プレビュー」機能に関する脆弱性を外部のハッカーに悪用されたもので、最大で9,000万人が影響を受けた可能性があるという。いま、われわれはどう対処すべきなのか。そして個人情報にまつわる問題が続くフェイスブックの今後にどう影響するのか。
TEXT BY LOUISE MATSAKIS, ISSIE LAPOWSKY AND LILY HAY NEWMAN
フェイスブックの個人情報をめぐる問題は、前例のない情報流出で新たな段階を迎えた。Facebookの5,000万人分のユーザー情報が流出していた可能性が明らかになったのだ。アプリを通じて入手した個人情報を第三者が流用していたケンブリッジ・アナリティカの問題とは異なり、今回の問題は外部の攻撃者がユーザーアカウントを直に乗っ取れる脆弱性である。
今回のバグは、フェイスブックによれば修正済みだという。同社の説明によると、攻撃者がユーザーのプロフィールのすべてを閲覧できる状態になっていた。だが、個人的なメッセージが含まれるのか、データが悪用されたのかどうかは現時点では明らかにされていない。
フェイスブックは問題を修正する過程で、9,000万人のFacebookユーザーのアカウントを、9月28日(米国時間)の朝に自動でログアウトさせた。このうち5,000万人が今回の問題の対象であり、残りの4,000万人も影響を受けていた可能性があるという。
まず「あなた」が確認すべきこと
フェイスブックによると、影響を受けたユーザーが再ログインすると、ニュースフィードのトップに情報流出に関するメッセージが表示されるのだという。
「みなさんのプライヴァシーとセキュリティは、わたしたちにとって重要なものです」と、フェイスブックは記している。メッセージは「わたしたちは、みなさんのアカウントを守るためにとった施策についてお知らせしたいと考えています」と続き、クリックすると詳しい情報を読めるようになっている。
もしあなたのアカウントがログアウトされた状態になっておらず、それでもセキュリティ対策をとっておきたいなら、このページを確認しておくといい。Facebookをどこで利用し、ログアウトしたのかを確認できる。
フェイスブックは現時点で、ハッカーがどこの誰であるか特定できていない。「判明することはないかもしれません」と、フェイスブックの製品担当副社長のガイ・ローゼンは記者向けの説明で語っている。
関連記事:ザッカーバーグ、個人情報流出とFacebookの「過ち」について激白
フェイスブックは米連邦捜査局(FBI)と協力しながら、攻撃者の特定を進めている。台湾の天才ハッカーとして知られる張啓元(チャン・チーユアン)は今週初めに、最高経営責任者(CEO)であるマーク・ザッカーバーグのFacebookアカウントを削除すると宣言し、それをライヴ中継すると公表していた。だがローゼンは、「その人物が今回の攻撃に関与しているとは認識していません」と説明している。
盗まれた「アクセストークン」
今回の記者向けの説明においてザッカーバーグは、以前にも述べていたように、セキュリティがもはや「軍拡競争」の域に達しているとのコメントを繰り返した。
「これはセキュリティに関する本当に深刻な問題です。われわれは本当に深刻な問題であると捉えています」と、ザッカーバーグは語る。「今回の問題を発見でき、脆弱性を修正してアカウントを守ることができてよかったと思っています。しかしこれは、すでに実際に起きてしまった問題なのです」
フェイスブックによると、問題の調査は9月16日にユーザーのアクセスが異常に急増したことから始まった。Facebookには、ユーザーのプロフィールが外部からどう見えるのかを確認する「プレビュー」機能がある。この機能に関連する一連のバグをハッカーが悪用していた可能性について、9月25日に開発チームが発見したのだという。この機能は、ユーザーが実施したプライヴァシー設定が、別のユーザーからはどう見えるのか確認できるように設計されていたものである。
最初のバグは、Facebookにヴィデオを投稿するアップローダーを、このプレビューのページに誤って表示させるものだった。このアップローダーのバグによって、Facebookへの「アクセストークン」が生成されてしまう。このアクセストークンを取得することで、毎回ログインしなくてもFacebookを同じデヴァイスで使い続けることができる。Facebookのスマートフォンアプリでも同様の仕組みになっている。
そして実際にアップローダーがプレビューページに表示されると、あらゆるユーザーのアクセスコードをハッカーが入手できてしまう。ローゼンは、ハッカーが相応のスキルを持ち合わせていることを示唆したうえで、「これは複数のバグの複雑な組み合わせによって生じる問題です」と説明する。
これで金曜朝にユーザーのアカウントがログアウトされた問題についても説明がつく。フェイスブックは今回の問題の影響を受けたユーザーと、昨年にプレビュー機能を利用したユーザーのアクセストークンをリセットしたというわけだ。Facebookでは一時的にプレビュー機能が停止されており、同社は引き続き問題について調査を続けるのだという。
「一連の問題がセキュリティの試験によって見つかっていたはずだと言うのは簡単です。しかし、こうしたタイプの脆弱性を特定したり発見したりするのは極めて難しい。というのも、稼働しているウェブサイトを動的にテストしなければなりませんから」と、サイバーセキュリティコンサルティング会社のTrustedSecでCEOを務めるデイヴィッド・ケネディは語る。
強まる追及の手
今回の脆弱性は、フェイスブックにとってこの上なく最悪のタイミングで明らかになった。同社の幹部たちは、2016年の大統領選を皮切りに発覚した一連のスキャンダルに悩まされ続けているからだ。広範囲にわたるロシアの情報工作は、密かにFacebookをむしばんだ。そしてケンブリッジ・アナリティカのようなサードパーティー企業が、ユーザーのデータを収集していたのである。
すでにフェイスブックは、個人情報とデータの共有に関してFBIによる複数の捜査に直面している。一部は連邦取引委員会(FTC)や証券取引委員会(SEC)の調査対象になっており、いずれもケンブリッジ・アナリティカ問題の情報開示に関連するものだ。またフェイスブックは、一連の個人情報問題に関する断続的なヒアリングの余波を受け、連邦議会によるさらに厳しい規制の“亡霊”にも直面している。
フェイスブックによる金曜の発表のあと、米上院情報問題特別調査委員会の議長を務める民主党上院議員のマーク・ウォーナーは、今回の情報流出に関する「完全なる調査」を求めた。
「本日の情報開示は、フェイスブックや信用調査会社のエキファックスといった少数の企業が、十分な安全対策もなく米国民の大量の個人情報を蓄積できる状況がもたらす危険性についての注意喚起となるものです」と、ウォーナーは声明で述べている。「これは問題について真剣に考える契機でもあります。連邦議会はソーシャルメディアユーザーのプライヴァシーを守り安全性を確保するための施策を強化し、行動に移す必要があるのです」
今後の動きが極めて重要に
フェイスブックはまた、欧州でも厳しい調査に直面することになる。「一般データ保護規則(GDPR)」が施行されたことで、企業はEU当局に問題発生から72時間以内に情報開示する義務があるからだ。ユーザーにとってリスクが高い事象だとみなされた場合、直に報告することが求められる。フェイスブックによると、すでにアイルランドのデータ保護当局に問題を報告したという。
今回の問題は、ここ数カ月でフェイスブックが明らかにした2つ目のセキュリティ関連の脆弱性となる。同社は6月、1,400万人の投稿を誤って数日にわたって「公開」設定にしてしまったバグについて公表している。だが、外部のハッカーによってユーザーのアカウントが丸ごと盗まれている可能性があるという問題は、フェイスブック史上初の出来事である。
この脆弱性に対するフェイスブックの反応、スピード、そして今後の広範にわたるであろう重要な情報開示は、極めて重要なものになる可能性が高い。再び、衆人の視線がザッカーバーグに集まっている。
0 件のコメント:
コメントを投稿