タグ: Facebook Security

Facebookの3000万ユーザーの個人情報が漏洩、Facebookならこれぐらいは‘軽微’!?

Facebookが、2週間前に公表したデータ漏洩事件詳細を発表した。最初に推計された5000万ではなく3000万のユーザーが、アクセス情報をハーカーに盗まれた。ご自分について確認したい方は、Facebook’s Help Centerへ行くとよろしい。被害を受けたユーザーにはFacebookが盗まれた情報の詳細を告知し、復旧方法を教える。アクセスはされたけれど、彼らにコピー〜ダウンロードされなかった情報もあると思われるが、その詳細は開示されていない。

Facebookのプロダクトマネージャー担当VP Guy Rosenが、記者たちにこう述べている: “この件に関しては目下FBIの捜査に協力している。FBIはわれわれに、捜査の間犯人に関する情報を明かさないよう求めている”。それは、犯人による証拠隠滅を防ぐためだ。

3000万のうち1500万は、名前、電話番号、そして場合によってはメールアドレスをアクセスされている。1400万はそれプラス、履歴書的情報…ユーザー名、性別、位置、言語、既婚・未婚、宗教、出生地、現住地(本人申請)、誕生日、Facebookにアクセスしているデバイスのタイプ、学歴、職業、最近訪れたサイト10箇所、フォローしている人またはPage、最近行った検索15件、などなど…にアクセスされた。残りの100万は、情報にアクセスされていない。

Facebookのその他のアプリ、Messenger, Messenger Kids, Instagram, WhatsApp, Workplace, Pages, それらに対する支払い決済情報、サードパーティアプリ、アドバタイザー、デベロッパー、などはアクセスされていない。Facebookによると、FBIの捜査中は犯人に関する証拠を明かさないことを、Facebookは法執行当局により求められている。

Facebookによると、ハッカーは、ユーザーのプロフィールを他人の観点から見るプライバシー機能“View As”の三つのバグの組み合わせを悪用した。それによって、そのアカウントの友だちにアクセスし、40万のアカウントのアクセス情報を盗んだ。そして別の方法を使って、彼らの友だち3000万の情報を握った。

多くのデータ漏洩と違って今回のは、最初に予想されたよりも軽微だった、とみなされている。ユーザーは、ログインの再行を求められたときちょっと戸惑ったが、今はこの事故のことを忘れているようだ、という。Q3の決算報告ではFacebookのユーザー数がやや減るおそれもあるが、盗まれたデータが実際に悪用されないかぎりは、Webの至るところで日々起きているエンドレスなサイバーセキュリティエラーのノイズの中で消えてしまうだろう。そのノイズの中には、FacebookのコンペティターGoogle+の閉鎖の遠因となったデータ遺漏事件も含まれている。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

Facebookのデータ流出は、データが悪用されない限り忘れられる

われわれはCambridge Analyticaスキャンダルに関心を持ったが、それはトランプの当選を後押ししたかもしれなかったからだ。LocationSmartを無視したのは、たとえ携帯電話のリアルタイムGPSデータが流出したとしても、そのデータがどう悪用されたかが明確になることはなかったからだ。

プライバシー問題はほとんどの人にとって、セキュリティーや思想的問題にならない限り抽象的概念である、というこの現実は、先週起こったFacebookの大規模データ流出を理解する上で重要な発想だ。

Facebookのお粗末なエンジニアリングは、3つのバグを生み出した結果5000万人のアクセストークンを盗まれた。ローコストな効率化による急成長を追求した結果、Facebookはユーザーを守ることに失敗した。Facebookは著しく信用を失墜した。

しかし、流失したアクセストークンを使うことで、アタッカーはユーザーのアカウントを乗っ取り、なりすまして行動し、個人情報を盗み出す可能性はあるものの、ユーザーが実際にどれほど気にかけているのかは不明だ。それは、現時点でFacebookもその監督機関も、どのデータが盗まれ、悪用されたのかを正確に掴んでいないからだ。

我慢の限界

すべては明日にでも変わるかもしれない。もしFacebookが、このアタックは外国政府が選挙介入するために実行されたか、個人情報盗難のチェックをかいくぐって人々の銀行口座やソーシャルメディアのプロフィールを盗んだか、個人を特定して物理的被害を与えたりしたことを発見すれば、暴動が起きる。

流出データの十分恐ろしい使い道を踏まえると、今回の流出事件はFacebookブランドを破壊する原因になりかねない。もしユーザーがプロフィールデータを消去し、フィード閲覧を減らし、シェアをしなくなるようなことになれば、この事故は著しい金銭的被害とネガティブなネットワーク効果をFacebookにもたらす。数年来のスキャンダルのあと、これが最後の一撃になるかもしれない。

しかし、盗まれたデータが悪用された証拠が未だにでてこないことで、事件はユーザーの記憶のかなたに消えていくかもしれない。Facebookに買収されたInstagramとWhatsAppのファウンダーたちの緊張感漂う脱退に見られるように、反発の発端は一般大衆からではないのかもしれない。

Facebook hack could hasten regulation as Sen. Warner says Congress must “step up”

このアタックによってソーシャルメディアの規制が早まる可能性がある。Warner上院議員は問題の追求を「強化」するよう議会に提案した。Warnerは欧州のGDPRに似たプライバシー法の推進者だった。法案には、ソーシャルネットワークの移行を容易にするポータビリティーとインターオペラビリティーも盛り込まれていた。ユーザーが競合サービスに移行する脅威は、Facebookにユーザーのプライバシーとセキュリティーの扱いを改善させるきっかけになるだろう。

FTCやEUは、Facebookの違反に対して相当額の罰金を科す可能性がある。しかし、四半期当たり数十億ドルを稼いでいる状況を踏まえると、Facebookにとって深刻な罰を与えるためには、罰金は歴史的金額にする必要があるだろう。

今回のアタックに関する最大の関心事は、AirbnbやSpotifyのようにFacebook Loginを使っている他のサービスへのアクセスに、トークンが使用されたかどうかだ。本件によって、Facebookを個人認証プラットフォームとして使おうと考えていたパートナーは二の足を踏むかもしれない。ただし、みなさんはパスワードを変えなくてはならない心配はする必要がない。ユーザー名とパスワードを盗まれるハッキングと異なり、Facebookの事故による継続的危険は限定的だ。パスワードが流出した場合は、盗難から長時間経過後に別アプリがハッキングを受ける可能性があるのに対して、今回盗まれたアクセストークンはすでにすべて無効化されている。

鈍感化

もし政府調査官やジャーナリストやアンチFacebook活動家たちが、Facebookに怠慢の責任を取らせたいと思うなら、具体的な脅威と結びつける必要がある。

流出データの悪質な利用の証拠がない今、このスキャンダルはFacebookの他のさまざまな問題に紛れる可能性がある。毎週、繰り返し、Facebookには見出しを飾るトラブルが起きる。時間とともに、それらが積み重なってFacebookの利用を躊躇させ、より多くのユーザーを離脱させる。しかし、容易に乗り換えられる汎用ソーシャルネットワークがないために、多くのユーザーは人とつながる利便性の引き換えに、Facebookの失態に耐えてきた。

データ漏洩が頻繁になるにつれ、大衆は鈍感になりつつある。最悪、無関心になりかねない。たとえ被害が明確でなくても、企業はプライバシー侵害の説明責任を持つべきだ。しかしEquifax、Yahoo、さらには携帯通信会社の事故が続くなか、われわれは深いため息と時には罵詈雑言を吐くだけで、日々の生活を送り続けることに慣れてしまった。記憶に残るのは、脅威がデジタル世界からオフラインの現実世界へと転移したときだけなのだ。

[画像出典:Getty]

[原文へ]

(翻訳:Nob Takahashi / facebook

Facebook、顔認識を使ったアカウント復元をテスト中

Facebookには、Apple FaceIDの独自バージョンがある。Facebookアカウントにアクセスできなくなったとき、本人認証に自分の顔を使ってアカウントを復元できる。これは、飛行機の中や旅行中などSMSで二要素認証を受け取れない時や、メールを読めない時には特に便利そうだ。

ソーシャルメディア研究者のDevesh Logendran(筆名)がTNWのMatt Navarraに新機能のスクリーンショットを送ってきた。本誌がこれをFacebook見せたところ、以下の回答があった。

「当社ではアカウント復活の際に、ユーザーが早く簡単にアクセスを取り戻すための新機能をテストしている。このオプション機能は過去にログインしたことのある端末でのみ利用できる。これは、SMS経由の二要素認証に加えて、アカウント保有者が本人であることを確認する新たな方法だ」

この機能がユーザーにとって信頼できるもので、ハッカーに騙されることがないと証明されれば、Facebookはもっと広く公開するかもしれない。

ここ数年Facebookは、凍結アカウントを復活するための新しい方法をいくつか試してきた。友達の写真を識別することで、自分が自分であることを証明するものもあった。あるいは、「信頼できる友達」を何人か指名しておき、アカウントのロック解除コードがそこに送られる、という方式もテストされた。

過去にFacebookは、写真のタグ付け候補に顔認識を利用して反発を受けた経験があるが、今回は本人を助けるためだけにテクノロジーが使われる。そのため、プライバシー問題を心配する必要はあまりないが、生体データに関わるものは何であれ人々を躊躇させるのはたしかだ。それでも、メッセージやニュースフィードやハッカー被害の復旧に役立つのであれば、多くの人はFacebookで自分の顔を使うことに抵抗を示さないだろう。

[原文へ]

(翻訳:Nob Takahashi / facebook