マーク・ザッカーバーグアリエル・ザンベリッチ/Wired
ケンブリッジ・アナリティカのデータスキャンダル発覚後、Facebookは最初の1週間沈黙を守っていたが、ダメージを最小限に抑える態勢に入った。問題が収束に向かわない中、マーク・ザッカーバーグは世界中のメディアに姿を現し、議会で証言することを約束し、ソーシャルネットワークに数々のアップデートを投入した。
最も重大な変化の1つは昨夜、Facebookが最高技術責任者のマイク・シュローファー氏による1,000語のブログ投稿で、開発者によるAPIの使用を制限していると発表したことだ。
この投稿の奥深くに隠されていたのは、ケンブリッジ・アナリティカが当初考えられていたよりも多くのデータにアクセスした可能性があるという暴露だった。Facebookは、最大8,700万人のユーザーの情報が同社と共有されたと考えている。これは、ガーディアン紙が当初報じた5,000万人という数字より3,700万人多い。
ケンブリッジ・アナリティカは、これほど大量のFacebookデータを受け取ったことを否定しているが、このソーシャルメディア大手が自社プラットフォームの不正利用に関する推定値を引き上げたのは今回が初めてではない。2017年10月、Facebookはロシアが掲載した広告を最大1億2600万人のアメリカ人が見た可能性があると発表し、以前の推定値である1000万人を上方修正した。
しかし、シュローファー氏のブログ投稿には、Facebookが今後、逆検索ツールの使用を禁止する旨も記載されていました。これまでは、プロフィールに紐付けられた電話番号やメールアドレスを使って検索することが可能でした。テキストメッセージでしか連絡を取っていない友人がいたとしても、このツールを使えばFacebook上でその友人を見つけることができました。
この機能はオプトアウトが可能だが、Facebookのプライバシー設定で無効にできる。「悪意のある人物は、検索やアカウント復旧で既に入手した電話番号やメールアドレスを送信することで、これらの機能を悪用し、公開プロフィール情報をスクレイピングしている」とシュローファー氏はブログ記事に記している。さらに、このツールを悪用する人物には「高度な技術」が見られ、「Facebookユーザーのほとんどが、この方法で公開プロフィールをスクレイピングされた可能性がある」と述べている。Facebookの月間ユーザー数は22億人を超えている。
これらの「悪意ある行為者」がどのような情報を入手したのか、またその人物が誰なのかは完全には明らかではない。Facebookプロフィールのスクレイピングから得られる情報は公開情報に限られており、写真や投稿、その他の詳細は含まれない。ザッカーバーグ氏は記者からの質問に対し、このツールを停止するのは「理にかなっている」と述べた。
続きを読む: これがFacebookとケンブリッジ・アナリティカ事件の中心にある決定的な証拠だ
オープンウェブ全体と同様に、開発者がスクリプトを実行してウェブページの詳細を取得することは可能です。また、インターネットアーカイブのようなサイトは、歴史的目的のために個々のサイトのバージョンをキャプチャしています。この手法は可能ですが、技術的な知識を持つ人以外に広く知られる可能性は低いでしょう。
「ほとんどの人は、それが可能だったり簡単だったりするということを知らないでしょう。ですから、テクノロジー業界よりも一般市民の方がより大きな懸念を抱くことになるかもしれません」と、オープンデータ研究所の政策責任者、ピーター・ウェルズ氏は言う。「消費者は一般的に、データがどのように収集され、使用され、共有されるのかを知りません。」
ウェルズ氏はさらに、Facebookのプロフィール情報やウェブ上のその他の情報が取得可能であるからといって、必ずしも取得してよいわけではないと主張している。ここで問題が生じる。「開発者が公共データを収集することと、それを意図していなかった、あるいは人々が予想していなかった目的に使用することとの間には、倫理的、そして時には法的緊張関係が存在します。」
今回のケースでは、ケンブリッジ・アナリティカのデータスキャンダルを受けて、Facebookはポリシーを見直し、公開プロフィールからのスケープ(個人情報の削除)を禁止するに至りました。同社はこの問題を以前から認識していました。
過去5年間で、少なくとも2人の開発者が同社に対しこの問題を提起してきました。2013年には、GiftnixのCEOであるブランドン・コプリー氏が、この技術を用いて個人情報をいかに容易に大規模に収集できるかを実証したことで、法的措置を取られると脅されました。
「複数のFacebookプロフィールをスクレイピングするのは非常に簡単だった」と彼は説明する。Facebookのセキュリティ開発者との一連のやり取りの中で、コプリー氏はこの問題について説明したが、「一見するとセキュリティ上の脆弱性があるように見えるが、実際には存在しない」と言われた。
スクレイピングの方法は複数ありますが、主にFacebookのAPIに自動生成された電話番号やメールアドレスのリストを入力することで実現されます。これらのリストは、データ侵害やオンライン情報漏洩によって取得された可能性もあります。
「Facebookにできるだけ頻繁にクエリを流してください。クエリ速度が速すぎるとしてIPアドレスがBANされたら、クエリが止まるまで速度を落としてください」とコプリー氏はメールで説明した。「私は純粋に研究のため、そしてFacebookの脆弱性を暴くためにこの仕事をしていたのです」
この問題は2015年に研究者によって再び提起されました。サイバーセキュリティ企業CyberScannerの創設者であるReza Moaiandin氏が、この「抜け穴」に関するブログ記事を公開しました。彼は、携帯電話番号を推測することで数千人の個人情報を収集できたと述べています。収集された情報には、氏名、所在地、プロフィール写真といった詳細情報が含まれていました。
これに対し、Facebookは「セキュリティ上の脆弱性とは考えていない」ものの、悪用を阻止するための対策を講じていると回答した。しかし、ザッカーバーグ氏の最近の声明はこれに反し、悪意のある行為を阻止するためのFacebookの取り組みが機能していないことを認めている。
「また明らかなのは、このレート制限の方法では何十万もの異なるIPアドレスを巡回し、それぞれに対して比較的少数のクエリを実行する悪意のある行為者を防ぐことができなかったということだ」とフェイスブックの創設者は記者団に語った。
フェイスブックの変更計画に対して、モアイアンディン氏は「フェイスブックがレビューシステムを強化しているのは良いことだが、ダメージはすでに出ているので、個人的にはあまり役に立たないと思う」と述べた。
この記事はWIRED UKで最初に公開されました。
