Metaがバグ報奨金プログラムを拡大、スクレイピングされたデータの発見も対象に

Meta(メタ)は、バグ報奨金プログラムを拡大し、データのスクレイピングを報告した研究者にも報奨金を与えると発表した。この変更により、スクレイピング行為を可能にするバグや、すでにオンラインで公開されている過去にスクレイピングされたデータを報告することも、報奨金の対象となる。

Metaはブログ記事で、スクレイピング行為に特化したバグ報奨金プログラムが起ち上げられたのは、同社が知る限り、これが初めてだと書いている。「当社では、攻撃者がスクレイピングの制限を回避して、我々が当初意図した以上の規模でデータにアクセスすることを可能にする脆弱性の発見を期待しています」と、セキュリティ・エンジニアリング・マネージャーのDan Gurfinkle(ダン・ガーフィンクル)氏は、説明会で報道陣に語った。

データスクレイピングは、Metaが追っている他の「悪意ある」攻撃とは異なり、自動化されたツールを使用して、ユーザーのプロフィールからメールアドレス、電話番号、プロフィール写真などの詳細な個人情報を大量に収集するというものだ。ユーザーがFacebookの公開プロフィール上でこれらの情報を自ら進んで公開していることもあるが、スクレイパーは、これらの個人情報を検索可能なデータベースに掲載するなど、より広範に公開する場合がある。

また、Metaがこのような行為に対抗するのは困難な場合もある。例えば、2021年4月には、5億人以上のFacebookユーザーの個人情報が、フォーラムで公開されたことがあった。このケースでは、実際のデータスクレイピングは数年前に発生したものであり、同社はすでに根本的な欠陥に対処済みだった。しかし、一度データがネット上に流出し始めてしまうと、同社にできることはほとんどなかった。また別のケースでは、データスクレイピングを理由に、同社が個人に対し訴訟を起こしたこともある。

関連記事
近頃起こったデータ漏洩についてFacebookからの回答が待たれる
・​Facebookがトルコ国籍のInstagramクローンサイト運営者を提訴

新しいバグ報奨金プログラムの下では、研究者は「PII(個人識別情報)または機密データ(例えば、メールアドレス、電話番号、住所、宗教や政治的所属)を含む、少なくとも10万件の固有のFacebookユーザーレコードが収蔵された、保護されていないまたは公開されているデータベース」を見つけると報奨金が支払われる。ただし、Metaによると、報奨金は研究者に直接支払われるのではなく、研究者が選んだ慈善団体に寄付されるという。これは(報奨金を目当てに)スクレイピングされたデータを公開しようとする行為を奨励しないようにするためだ。

データスクレイピングにつながるバグの報告については、研究者は寄付か直接支払いのどちらかを選択できる。Metaによると、バグまたはデータセットの発見には、どちらも最低500ドル(約5万7000円)以上の報奨金を支払うとのこと。

編集部注:本記事の初出はEngadget。執筆者Karissa BellはEngadgetのシニアエディター。

画像クレジット:Bryce Durbin / TechCrunch

原文へ

(文:Karissa Bell、翻訳:Hirokazu Kusakabe)

米最高裁がLinkedInのスクレイピング禁止訴訟の再審問を指示

最高裁判所は、LinkedIn(リンクトイン)に対し、ライバル会社がユーザーの公開プロフィールから個人情報をスクレイピングするのを止めさせるチャンスを再び与えた。LinkedInが違法であるべきだと主張するスクレイピング行為が禁止されれば、インターネット研究者やアーカイビストには予期しない影響を与える可能性がある。

LinkedInは2019年、CFAA(コンピューター犯罪取締法)は企業がインターネットで公にアクセス可能なデータをスクレイピングすることを禁止しないとする連邦第9巡回区控訴裁判所の裁定によって、Hiq Labsを訴えた裁判に敗訴した。

Microsoft(マイクロソフト)傘下のソーシャルネットワークは、同社のユーザープロフィールの大量スクレイピングは、許可なくコンピューターをアクセスすることを禁止しているコンピューター犯罪取締法に違反していると主張した。

公開データを使って従業員の減少を分析するHiq Labsは、LinkedInに有利な裁決は「インターネットのオープンなアクセスに深刻な影響を与えるものであり、30年前にCFAAを制定した時に議会が意図したはずのない結果だ」と主張した(Hiq LabsはFacebookからも訴えられた。当時同社はFacebookとInstagramだけでなく、Amazon、Twitter、YouTubeもスクレイピングしていた)。

関連記事:Facebookがデータスクレイピングを実行する2社を提訴

最高裁判所はこの件を扱わず、最新の裁定を踏まえて再度審問するよう控訴裁判所に命じた。裁定は、使用を許可されたコンピューター上のデータを不適切にアクセスした場合はCFAAに違反することがないとした。

一時CFAAは、テクノロジーや法律の書籍で「最悪の法律」と批判され、時代遅れで曖昧な文言が現在のインターネットのスピードに追いついていないと長年言われてきた。

ジャーナリストやアーキビストは、古いサイトや閉鎖されるサイトのアーカイブコピーを保存する方法として、公開データのスクレイピングを長年行っている。しかし、それ以外のスクレイピング事例はプライバシーと市民の自由を巡って怒りと懸念の火をつけた。2019年に、あるセキュリティ研究者は数百万件のVenmo取り引きをスクレイピングした。Venmoはデフォルトでデータをプライベートに設定していなかった。賛否の分かれる顔認識スタートアップClearview Alは、許可を得ることなく300億枚以上のプロフィール写真をスクレイピングしたと言っている。

関連記事:Clearview AIの顔認識技術はカナダでもプライバシー侵害で違法

カテゴリー:ネットサービス
タグ:LinkedIn裁判スクレイピングMicrosoftCFAAプライバシー

画像クレジット:Ali Balikci / Getty Images

原文へ

(文:Zack Whittaker、翻訳:Nob Takahashi / facebook

フェイスブックがデータスクレイピングを実行する2社を提訴

Facebookは本日、「データスクレイピング」を国際的に実施していた2社を相手取り米国で訴訟を起こしたと発表した。このデータスクレイピングによる影響は、FacebookとInstagramの両方を含むFacebookのプロパティに加え、Twitter、Amazon、LinkedIn、YouTubeなどその他の大規模なウェブサイトやサービスにも及んでいる。「マーケティングインテリジェンス」を目的にFacebookユーザーのデータを収集したこれらの企業は、Facebookの利用規約に違反した行為を行ったとFacebookは伝えている。

訴訟で挙げられたその社名は、イスラエルを拠点とするBrandTotal Ltd.とデラウェア州で法人化されたUnimania Inc.だ。

BrandTotalのウェブサイトによると、同社は、メディアやインサイト&分析チームに競合他社のソーシャルメディア戦略や有料キャンペーンが可視化されるように設計された、競争力の高いインテリジェンスプラットフォームをリアルタイムで提供している。同社からの情報により、顧客は予算配分を分析してシフトし、新たなチャンスを見定めたり、新興ブランドのトレンドや脅威を監視したり、広告やメッセージングを最適化したりすることが可能となる。

一方でUnimaniaによると、同社のアプリを使用するとユーザーは異なる方法でソーシャルネットワークにアクセスできるようになると言う。例えば同社は、Facebookをモバイルウェブインターフェースで閲覧できたり、Twitterなど他のソーシャルネットワークと一緒に閲覧できたりするアプリを提供。その他にも匿名でInstagramのストーリーが見られるアプリなども提供しているとのことだ。

しかしフェイスブックによる今回の訴訟での焦点は、Unimaniaの「Ads Feed」とBrandTotalの「UpVoice」という2つのブラウザーの拡張機能についてである。

Ads Feedを使用するとユーザーはFacebook上で見た広告を保存して、後から閲覧することができる。しかし拡張機能のページで開示されているように、そうすることでUnimaniaの企業顧客の広告決定を知らせるパネルにユーザーをオプトインすることになる。一方でUpVoiceは、ユーザーが人気のSNSやショッピングサイトを利用したり、有名ブランドが運営するオンラインキャンペーンに対する意見を共有したりすると、ギフトカードがプレゼントされるというものだ。

Facebookは、これらの拡張機能はスクレイピングに対する保護とその利用規約に違反して運営されていると主張。ユーザーが拡張機能をインストールしてFacebookのウェブサイトを閲覧すると、拡張機能が自動的にプログラムを実行して、名前やユーザーID、性別、生年月日、交際状況、位置情報などアカウントに関連する情報をスクレイピングする仕組みだ。その後、それらのデータはBrandTotalとUnimaniaが共有するサーバーに送られる。

Facebook lawsuit vs BrandTo… by TechCrunch

データスクレーパーは、ボットやスクリプトのような自動化されたツールを使って、可能な限り多くの情報を収集することを目的として存在する。2016年の大統領選挙時、Cambridge Analyticaが誰に投票するか決めかねている有権者をターゲットとして、何百万人ものフェイスブックプロフィールをスクレイプしたという悪名高い事件がある。ボットを使用してコンサートやイベントのチケット価格を監視して、競合他社より安価で売れるようにするのもデータスクレイピングの一例だ。集められたデータはマーケティングや広告に使用されたり、単に他社に販売されたりすることもある。

Cambridge Analyticaのスキャンダルを受けて、Facebookは利用規約を破るさまざまな開発者に対して法的措置を取り始めた。

データスクレイピングにまつわるほとんどのケースは、コンピューターハッキングを起訴するために1980年代に制定されたコンピュータ詐欺・不正利用防止法に基づいて訴訟が行われている。「許可なく」コンピューターにアクセスした人は誰でも高額な罰金や実刑判決を受ける可能性があるわけだ。

しかし、法律では何が「許可された」アクセスで何が許可されていないのかが明確に定義されていないため、大手テック企業がデータスクレーパーを締め出すための努力は報われない場合もある。

2019年にLinkedInが、スクレイパーはインターネットで公開されているデータを収集しているに過ぎないとの控訴裁判所の判決を受け、HiQ Labsを相手にした訴訟で敗訴した事件は有名だ。電子フロンティア財団のようなインターネットの権利団体は「一般に公開されている情報へのアクセス方法が、パブリッシャーが異議を唱える方法でなされたからといって」インターネットユーザーが法的な脅威に直面すべきではないと主張しこの決定を称賛している

Facebookによる今回の訴訟は、実質的には公開されていないFacebookのプロフィールデータをスクレイピングしたBrandTotalを告発すると言うものであるため、これまでとは多少異なったケースである。Facebookによると、告発されているデータスクレイパーは、ユーザーのコンピューターにインストールされたブラウザー拡張機能を使用して、Facebookのプロフィールデータにアクセスできるようにしたという。

2019年3月、クイズアプリやブラウザーの拡張機能を使ってデータを収集し、プロフィール情報や友達リストをスクレイピングしていたウクライナ人の2名の開発者を提訴したとFacebookは伝えている。カリフォルニア州の裁判所は最近、この事件でFacebookに有利な判決を下している。昨年、マーケティングパートナーであるStacklaに対して起こしたスクレイピングをめぐる別件の訴訟でも、同様にFacebookに有利な結果となった。

そして今年、Facebookはスクレイピングと偽のエンゲージメントサービスに関与している企業や個人を相手に訴訟を起こした

ただし、Facebookはユーザーのプライバシーを保護するためだけにデータスクレイピング操作を取り締っているわけではない。そうしないと多額の罰金につながる可能性があるからだ。同社は今年初め、イリノイ州の個人情報保護法の体系的違反を疑う集団訴訟の和解のため5億ドル(約527億円)以上の支払いを命じられている。そして昨年はプライバシー侵害をめぐってFTCと和解し、50億ドル(約5270億円)の罰金を支払っている。政府がオンラインプライバシーとデータ違反の規制をさらに強化しようとしているため、このような罰金がさらに加算される可能性がある。

同社は、法的措置だけがデータスクレイピング防止のための処置ではないと言及。技術チームやツールにも投資しており、不審な活動や不正な自動機能を使ったスクレイピングを常に監視、検出しているとのことだ 。

関連記事:Facebook Groupsに新機能、ディスカッションの管理や公開コンテンツの表示が可能に

カテゴリー:ネットサービス

タグ:Facebook 訴訟 スクレイピング

[原文へ]

(翻訳:Dragonfly)