Facebookは、自らが作り出した広大なオンライン世界における悪質な行為、例えば政治的な荒らし、過激なコンテンツ、そして恐ろしい暴力行為のライブストリーミングといった行為を抑制できていないとして、激しい批判を浴びている。しかし、研究者たちは、このソーシャルメディア界の巨人が、ユーザーの間で長年続いてきた、はるかに根源的で根本的なインターネットの問題、つまり昔ながらのサイバー犯罪の取り締まりにも失敗していることを発見した。
シスコシステムズ傘下のセキュリティ部門Talosの研究者は金曜日、盗難クレジットカード情報、個人情報、スパムリスト、ハッキングツール、その他のサイバー犯罪関連商品の販売を目的としたFacebookグループを74件発見したと発表した。研究者によると、これらのグループは「Spam Professional」「Spammer and Hacker Professional」といった名前で、人目につく場所に存在し、合計38万5000人のメンバーを集めていたという。「carding」や「CVV」(クレジットカード裏面のセキュリティコード)といった基本的なキーワードでサイト内検索すれば、誰でもこれらのグループを見つけることができる。
「実際、私たちが発見したのは、犯罪に関する情報をオンラインで公然と取引している膨大な数のFacebookグループでした」と、シスコ・タロスのアウトリーチ担当ディレクター、クレイグ・ウィリアムズ氏は語る。「これらのグループのユーザーベースは、ほぼタンパの街並みに匹敵します。」
シスコが調査結果をまとめたブログ記事で公開したスクリーンショットには、Facebookユーザーが盗まれたとされるクレジットカードやIDの写真を公開し、1枚5ドルでCVVリストを提供している様子や、スパムやフィッシング攻撃に悪用されやすい数千件のメールを収集している様子が捉えられている。こうしたデータはダークウェブのマーケットや、パスワードで保護された招待制のハッカーフォーラムで通常売買されるものだ。ウィリアムズ氏によると、これらのグループで確認したユーザーの多くは、実在のアカウントを使ってFacebookのサイバー犯罪市場で取引を行っているようにさえ見えたという。
Cisco の研究者が発見した投稿の一部には、CVV セキュリティ コードを含むクレジットカード データや、偽造クレジットカードや ID が販売されていました。Cisco
ウィリアムズ氏によれば、こうしたグループを見つけるのは特に難しいことではなかったという。シスコの研究者がいくつかのグループを特定すると、Facebook の推奨アルゴリズムが、同様のブラックマーケットに焦点を当てた他のグループを提案したのだ。
Facebookがまさにこの問題に直面したのは今回が初めてではありません。昨年、サイバーセキュリティ記者のブライアン・クレブス氏が、Facebook上で30万人のメンバーを抱える、同様の規模のサイバー犯罪グループを特定し、Facebookに報告しました。Facebookは当時これらのグループを禁止しましたが、それから1年も経たないうちに、さらに大規模な詐欺師やハッカー集団がFacebookに巣食うようになりました。
Facebookはシスコが特定したグループを削除したが(研究者からの報告を受けて)、クリーンアップは未だ完了していない。WIREDは数分間の検索で、「Carder Philippines」や「Anonymous Carding India」といった名前のユーザーやグループを発見した。これらのグループは、クレジットカード情報に加え、乗っ取られたeコマースアカウントで購入されたカメラやiPhoneといった盗難品と思われる商品も公然と販売していた。
Facebookによるクレジットカード不正利用アカウントの一掃後、 WIREDがわずか数分の検索で発見したスクリーンショット。WIRED
「ゴキブリを10匹見つけて殺せば、それで問題は解決するのでしょうか?」とウィリアムズ氏は問いかける。「悪質な業者があなたのプラットフォームを気に入っていると認識してしまうと、すべてを見つけるのは非常に困難になるでしょう。」
Facebookの広報担当者はWIREDへの声明で、「これらのグループはスパムと金融詐欺に関する当社のポリシーに違反していたため、削除しました。より一層の警戒が必要だと認識しており、この種の活動に対抗するために多額の投資を行っています」と述べた。Facebookは、これらのグループのほとんどは2018年に作成されたばかりの比較的新しいものだと付け加えた。また、これらのグループに関連するユーザーのアカウントを禁止し、アカウント所有者がサイト上で新しいグループを作成できないようにする措置を講じたと述べている。
しかし、Facebook批判者にとって、サイトに蔓延するサイバー犯罪市場は、数十億人のユーザーに対するモデレーションと監視における同社の怠慢を示す、最新の例に過ぎない。元Facebookスタッフで、現在はハーバード・ショレンスタイン・センターのプラットフォーム・アカウンタビリティ・プロジェクトに勤務するディパヤン・ゴーシュ氏は、これはFacebookが自主規制に頼ることはできないことを示す新たな兆候だと見ている。
「馬鹿げています。この会社は時代遅れのルールに基づいて事業を運営しており、自社の利益だけを追求しているということを示しています」とゴーシュ氏は言う。「公平な規制によってゲームのルールを変えない限り、この状況は止まらないでしょう。」
より具体的には、ゴーシュ氏は通信品位法第230条を改正すべき時が来ていると述べています。この条項は、Facebookなどのソーシャルメディアサイトを、ユーザーが共有するコンテンツに対する責任から保護するものです。「私たちの安全とセキュリティ、そして個人情報の保護をより良く守るために、第230条を再考し、改正すべき時が来ていると思います」とゴーシュ氏は言います。
Facebookには、プラットフォーム上で不適切と判断した行動を積極的に排除する能力があります。例えば、最近では白人至上主義的なコンテンツを禁止しました。また、最終的にはプラットフォームをプライベートで暗号化されたやり取りを優先する方向に移行する意向も明らかにしており、そうなればサイバー犯罪グループがFacebookの傘下で、検知を恐れることなく活動できるようになる可能性があります。
しかし、シスコシステムズ・タロスの研究員クレイグ・ウィリアムズ氏は、現時点ではFacebookがモデレーションを強化し、ユーザーと外部監査機関がFacebookに責任を負わせる以外に解決策はないと主張している。「Facebook、ユーザー、そしておそらく私たちのようなセキュリティ企業も含め、ソーシャルメディアサイトからこうした行為者を排除するために、共同で努力する必要があります」とウィリアムズ氏は語る。「常に警戒を怠らないことが必要です。」
WIREDのその他の素晴らしい記事
- シリア、ラッカの死体回収者たち
- 科学者たちはもっと猫のDNAを必要としており、リル・バブがそれを助けるためにここにいる
- ハッカーのエヴァ・ガルペリンがストーカーウェアを撲滅する計画を立てている
- 民主党は崩壊しつつあるデータ運用をどう改善するつもりか
- さようなら、Inbox!代わりにこれらのメールアプリをお試しください
- 👀 最新のガジェットをお探しですか?最新の購入ガイドと年間を通してのお買い得情報をチェックしましょう
- 📩 毎週配信されるBackchannelニュースレターで、さらに多くの内部情報を入手しましょう
