Facebookの欧州連合(EU)のデータ保護規制当局は、2021年4月第1週末に報告された大規模なデータ侵害について、この大手企業に回答を求めている。
この問題は、米国時間4月2日に Business Insiderが報じたもので、5億件以上のFacebookアカウントの個人情報(メールアドレスや携帯電話番号を含む)が低レベルのハッキングフォーラムに投稿され、数億人のFacebookユーザーのアカウントの個人情報が自由に利用できる状態になっていた。
ビジネスインサイダーによると「今回公開されたデータには、106カ国の5億3300万人以上のFacebookユーザーの個人情報が含まれており、その中には、米国のユーザーに関する3200万人以上の記録、英国のユーザーに関する1100万人以上の記録、インドのユーザーに関する600万人以上の記録が含まれる」。さらにその中には、電話番号、FacebookのID、氏名、所在地、生年月日、経歴、一部のメールアドレスなどが含まれていることを明らかにした。
Facebookは、データ漏洩の報告に対して、2019年8月に「発見して修正した」自社プラットフォームの脆弱性に関連するものだとし、その情報を2019年にも報告された「古いデータ」と呼ぶ。しかし、セキュリティ専門家がすぐに指摘したように、ほとんどの人は携帯電話の番号を頻繁に変更することはない。そのため、この侵害をそれほど重大でないものに見せようとするFacebookの反応は、責任逃れのための思慮の浅い試みのように思われる。
また、 Facebookの最初の回答が示しているように、すべてのデータが「古い」ものであるかどうかも明らかではない。
Facebookがまたしても起こったこのデータスキャンダルを、それほど重大でないものに見せようとする理由は山ほどある。欧州連合のデータ保護規則では、重大なデータ漏洩を関連当局に速やかに報告しなかった企業に対して厳しい罰則が設けられていることもその理由の1つだ。また、欧州連合の一般データ保護規則(GDPR)では、設計上およびデフォルトでのセキュリティが期待されているため、違反自体にも厳しい罰則が課せられる。
Facebookは、流出したデータが「古い」という主張を推し進めることで、それがGDPRの適用開始(2018年5月)よりも前であるという考えを宣伝したいのかもしれない。
しかし、欧州連合におけるFacebookの主なデータ監督機関であるアイルランドのデータ保護委員会(DPC)は、TechCrunchに対し、現時点ではそれが本当に古いと言えるのかどうかは十分に明らかではないと述べる。
DPCのGraham Doyle(グラハム・ドイル)副委員長は「新たに公開されたデータセットは、オリジナルの2018年(GDPR以前)のデータセットと、それより後の時期のものと思われるデータ接セットで構成されているようだ」との声明を出している。
ドイル氏はまた「情報が公開されたユーザーの多くはEUユーザーだ。データの多くは、Facebookの公開プロフィールからしばらく前に取得されたデータのようだ」とも述べている。
「以前のデータセットは2019年と2018年に公開されたが、これはFacebookのウェブサイトの大規模なスクレイピングに関連するものだ(当時Facebookは、Facebookが電話検索機能の脆弱性を閉鎖した2017年6月から2018年4月の間にこれが発生したと報告していた)。このスクレイピングはGDPR発効以前に行われたため、FacebookはこれをGDPRに基づく個人データ侵害として通知しないことに決めたのだ」。
ドイル氏によると、規制当局は週末にFacebookから情報漏洩に関する「すべての事実」を取得しようとしており、現在もそれは「続いている」。つまり、Facebookが情報漏洩自体を「古い」と主張しているにもかかわらず、この問題については現在も明らかになっていないということだ。
GDPRでは、重要なデータ保護問題について規制当局に積極的に知らせる義務が企業に課せられているにもかかわらず、この問題についてFacebookから積極的な連絡がなかったことがDPCによって明らかになった。それどころか、規制当局がFacebookに働きかけ、さまざまなチャネルを使って回答を得なければならなかった。
こうした働きかけによりDPCは、Facebookとしては、情報のスクレイピングは、Cambridge Analyticaのデータ不正利用スキャンダルを受けて確認された脆弱性を考慮して2018年と2019年にプラットフォームに加えた変更の前に発生したと考えていることが分かったと述べている。
2019年9月、オンライン上で、Facebookの電話番号の膨大なデータベースが保護されていない状態で発見された。
関連記事:Facebookユーザーの電話番号が掲載された大量データベースが流出
また、Facebookは以前、自社が提供する検索ツールに脆弱性があることを認めていた。2018年4月には、電話番号やメールアドレスを入力することでユーザーを調べられる機能を介して、10億から20億人のFacebookユーザーの公開情報が抽出されていたことを明らかにしているが、これが個人情報の貯蔵庫となっている可能性もある。
Facebookは2020年、国際的なデータスクレイピングに関与したとして、2社を提訴している。
関連記事:Facebookがデータスクレイピングを実行する2社を提訴
しかし、セキュリティ設計の不備による影響は「修正」から数年経った今でもFacebookの悩みの種となっている。
さらに重要なのは、大規模な個人情報の流出による影響は、インターネット上で今や自分の情報が公然とダウンロードにさらされるようになったFacebookユーザーにも及んでおり、スパムやフィッシング攻撃、その他の形態のソーシャルエンジニアリング(個人情報の窃盗を試みるものなど)のリスクにさらされていることだ。
この「古い」Facebookデータが、ハッカーフォーラムで無料で公開されるに至った経緯については、謎に包まれている部分が多い。
DPCは、Facebookから「問題となっているデータは、第三者によって照合されたものであり、複数のソースから得られたものである可能性がある」との説明を受けたと述べている。
Facebookはまた「十分な信頼性をもってその出所を特定し、貴局および当社のユーザーに追加情報を提供するには、広範な調査が必要である」と主張しているが、これは遠回しに、Facebookにも出所の見当がつかないということを示唆している。
「Facebookは、DPCに対し、確実な回答の提供に鋭意努めることを保証している」とドイル氏は述べている。ハッカーサイトで公開された記録の中には、ユーザーの電話番号やメールアドレスが含まれているものもある。
「ユーザーには、マーケティングを目的としたスパムメールが送られてくる可能性がある。また電話番号やメールアドレスを使った認証が必要なサービスを自ら利用している場合も、第三者がアクセスを試みる危険性があるため注意が必要だ」
「DPCは、Facebookから報告を受け次第、さらなる事実を公表する」と彼は付け加えた。
本稿執筆時点で、Facebookにこの違反行為についてのコメントを求めたが、同社はこれに応じなかった。
自分の情報が公表されていないか心配なFacebookユーザーは、データ漏洩について助言を行うサイト「haveibeenpwned」で、自分の電話番号やメールアドレスを検索することができる。
haveibeenpwnedのTroy Hunt(トロイ・ハント)氏によると、今回のFacebookのデータ漏洩には、メールアドレスよりも携帯電話番号の方がはるかに多く含まれている。
彼によると、数週間前にデータが送られてきた。最初に3億7000万件の記録が送られてきたが、その後「現在、非常に広く流通しているより大規模なデータ」が送られてきたという。
「多くは同じものですが、同時に多くが異なってもいます」とハント氏は述べ、次のように付け加えた。「このデータには1つとして明確なソースはありません」。
【更新1】Facebookは今回のデータ流出についてブログ記事を公開し、問題のデータは2019年9月以前に「悪意のある者」が連絡先インポート機能を使ってユーザーのFacebookプロフィールからスクレイピングしたものと考えていることを明らかにした。またその際、ツールに修正を行い、大量の電話番号をアップロードしてプロフィールに一致する番号を見つける機能をブロックすることで悪用を防ぐ変更を施している。
「修正前の機能では、(Facebookの連絡先インポートツールのユーザーは)利用者プロフィールを照合し、公開プロフィールに含まれる一定の情報のみは取得することができました」とFacebookは説明し、これらの情報には利用者の金融情報や医療情報、パスワードは含まれていないと付け加えた。
ただし、悪意のある者がツールを転用することでどのようなデータを取得できたかについて、あるいは当該行為者を特定し、訴追しようとしたかどうかという点については明記されていない。
その代わりに同社の広報は、そのような行為は同社の規約に違反しているとし「このデータセットの削除に取り組んでいる」ことを強調した。同社はまた「機能を悪用する人々を可能な限り積極的に追跡していきます」と述べているが、ここでも悪用者を特定して確実に排除した実例は示していない。
(例えば、Facebookが2018年にCambridge Analyticaのスキャンダルを受けて実施すると述べたアプリ内部監査の最終報告書はどこにあるのだろうか。英国のデータ保護規制当局は最近、Facebookとの法的取り決めにより、アプリ監査について公の場で議論することはできないと述べている。つまりFacebookは、自社ツールの不正使用にどう取り組むかについての透明性を回避することに関しては、積極的なアプローチをとっているようだ……)
「過去のデータセットの再流通や新たなデータセットの出現を完全に防ぐことは困難ではありますが、専任チームを設け、今後もこの課題に対して注力してまいります」とFacebookは広報の中で述べており、ユーザーのデータが同社のサービス上で安全であることを一切保証していない。
同社はユーザーに対し、アカウントに提供しているプライバシー設定をチェックすることを推奨している。その設定には、同社のサービス上で他人があなたを検索する方法を制御する機能も含まれている。これではデータセキュリティの責任はFacebook自身ではなくFacebookユーザーの手中にあると言っているようなもので、Facebookデータ漏洩の事実から逸脱し、責任転換をしようとしているだけである。
もちろん、実際はユーザー次第ではない。FacebookユーザーがFacebookから提供されるのはデータの部分的なコントロールだけであり、Facebookの設計と仕組み(プライバシーに配慮したデフォルト設定を含む)が全面的に関与するものだ。
さらに、少なくとも欧州では、製品の設計にセキュリティを組み込む法的責任がある。個人データに対して適切なレベルの保護を提供できない場合、大きな規制上の制裁を受ける可能性があるが、企業は依然としてGDPRの施行上のボトルネックから恩恵を享受している。
Facebookの広報はまた、ユーザーが二段階認証を有効にしてアカウントのセキュリティを向上させることを提案している。
それは確かに名案だが、二段階認証に関しては、Facebookが二段階認証用のセキュリティキーとサードパーティ認証アプリのサポートを提供していることは注目に値する。つまり、Facebookに携帯番号を与えるリスクを冒すことなく、この付加的なセキュリティ層を追加することができる。ユーザーの電話番号を大量にリークしていた過去もあり、ターゲティング広告に二段階認証の数字を使うことも認めているため、Facebookに自分の電話番号を託すべきではないといえるだろう。
【更新2】Facebookは追加の背景説明で、規制当局との通信内容についてはコメントしないことを明らかにした。
同社はまた、侵害についてユーザーに個別に通知する計画はないと述べ、さらに、データが取得された方法(スクレイピング)の性質上、通知が必要なユーザーを完全に特定することはできないとしている。
画像クレジット:Jakub Porzycki/NurPhoto / Getty Images
[原文へ]
(文:Natasha Lomas、翻訳:Dragonfly)