土曜日以来、 Facebookの膨大なデータが公開され、約5億3300万人のFacebookユーザーの情報がインターネット上に拡散しました。データには、プロフィール名、Facebook ID、メールアドレス、電話番号などが含まれています。これらは既に他の情報源から漏洩または収集された可能性のある情報ですが、このデータはすべてリンクされ、被害者一人ひとりと結び付けられ、詐欺師、フィッシング詐欺師、スパマーに整理されたプロフィールを銀の皿に載せて提供する、新たな情報源となっています。
Facebookの最初の回答は、このデータは2019年に既に報告されており、同社は同年8月に根本的な脆弱性を修正したというだけのものでした。これは古いニュースです。しかし、このデータの出所を詳しく調べてみると、はるかに曖昧な状況が浮かび上がります。実際、2019年に犯罪者のダークウェブに初めて現れたこのデータは、Facebookが当時詳細を明らかにしていなかった侵害から得られたものであり、火曜日の夜に製品管理ディレクターのマイク・クラーク氏によるブログ投稿で初めて完全に認めました。
混乱の原因の 1 つは、Facebook ではこれまでにも、このデータの発生源となり得る侵害や漏洩が数多く発生していることです。2019 年 4 月にセキュリティ企業 UpGuard が公表した、第三者によって漏洩した 5 億 4000 万件のレコード (Facebook ID、コメント、いいね、リアクション データなど) でしょうか。それとも、2018 年の Facebook のポリシー変更前に悪意のある人物によってソーシャル ネットワークからスクレイピングされ、2019 年 9 月に TechCrunch が報じた、数億件の電話番号、名前、Facebook ID などを含む 4 億 1900 万件の Facebook ユーザー レコードでしょうか。2018 年の Cambridge Analytica による第三者データ共有スキャンダルと関係があるのでしょうか。それとも、約 3000 万人のユーザーからアクセス トークンと事実上すべての個人データが侵害された、2018 年の大規模な Facebook データ侵害と何らかの関係があるのでしょうか。
実際のところ、答えは上記のどれでもないようだ。FacebookがWIREDへの背景説明と火曜日のブログ記事で最終的に説明したように、最近公開された5億3300万件ものレコードは、攻撃者がFacebookのアドレス帳の連絡先インポート機能の欠陥を悪用して作成した全く別のデータセットである。Facebookは2019年8月にこの脆弱性を修正したと述べているが、それ以前にこのバグが何回悪用されたかは不明だ。106カ国以上、5億人以上のFacebookユーザーから収集された情報には、Facebook ID、電話番号、マーク・ザッカーバーグ氏やピート・ブティジェッジ米国運輸長官、そして欧州連合(EU)データ保護委員のディディエ・レインダース氏といった初期のFacebookユーザーに関するその他の情報が含まれている。その他の被害者には、Facebookの詳細情報に「連邦取引委員会」を記載している61人と、「司法長官」を記載している651人が含まれている。
漏洩によって自分の電話番号やメールアドレスが漏洩したかどうかは、侵害追跡サイト「HaveIBeenPwned」で確認できます。このサービスでは、創設者のトロイ・ハント氏が、これまで出回っていた2つの異なるバージョンのデータセットを統合し、統合しました。
「関与が疑われる組織からの情報がないとき、誰もが憶測し、混乱が生じる」とハント氏は言う。
Facebookがこれまでこの侵害の原因を認めたことに最も近かったのは、2019年秋のニュース記事でのコメントだった。その年の9月、ForbesはInstagramの連絡先インポートの仕組みに関連する脆弱性について報じた。Instagramのバグにより、ユーザーの名前、電話番号、Instagramのハンドル、アカウントID番号が露出した。当時、Facebookは欠陥を公表した研究者に対し、Facebookのセキュリティチームは「内部調査の結果、この問題を既に認識していた」と伝えた。広報担当者は当時Forbesに対し、「潜在的な不正使用を防ぐため、Instagramの連絡先インポート機能を変更しました。この問題を提起してくれた研究者に感謝します」と語った。Forbesは2019年9月の記事で、脆弱性が悪用された証拠はないが、悪用されていないという証拠もないと指摘した。
Facebookは本日のブログ投稿で、同社が2019年のデータ漏洩を公に認めた証拠として、2019年9月のCNETの記事へのリンクを貼っている。しかし、CNETの記事は、名前や電話番号を含むFacebookデータの山について2019年5月にWIREDにも連絡を取った研究者の調査結果に言及している。この研究者が知った漏洩は、TechCrunchが2019年9月に報じたのと同じものだ。そして、2019年9月のCNETの記事によると、それはCNETが説明していたものと同じだという。Facebookは当時TechCrunchに対し、「このデータセットは古く、電話番号を使って他の人を見つけられないようにする昨年(2018年)の変更以前に取得された情報が含まれているようだ」と語っていた。これらの変更は、Facebookの検索およびアカウント回復ツールが大量スクレイピングに悪用されるリスクを減らすことが狙いだった。
犯罪フォーラムで流通するデータセットは、多くの場合、混ぜ合わせられ、改変され、再結合され、異なる塊として売却されるため、正確な規模や範囲にばらつきが生じる可能性があります。しかし、Facebookが2019年にTechCrunchが報じたデータは2018年半ば以前のものであるとコメントしたことを踏まえると、現在流通しているデータセットではないようです。また、2つのデータセットは、それぞれの地域で影響を受けるユーザーの属性や数も異なります。Facebookは、2019年9月のCNETの記事についてコメントを控えました。
これらすべてを整理するのが大変だと感じるなら、それは Facebook が何日も実質的な回答を出さず、ある程度の混乱を残したからだ。
「Facebookはどの時点で『システムにバグがあり、修正を加えたため、ユーザーに影響が出る可能性があります』と言ったのでしょうか?」と、連邦取引委員会の元主任技術者アシュカン・ソルタニ氏は言う。「Facebookがそのような発言をしたのを一度も聞いたことがありません。そして、どうやら彼らは何の開示も通知もしなかったため、今、行き詰まっているようです。」
Facebookは、ブログで侵害を認める前に、2019年のFacebook連絡先インポートツールの侵害を公に認めた証拠として、フォーブスの記事を挙げました。しかし、フォーブスの記事は、5億3300万人のユーザー情報漏洩が発生したFacebook本体ではなく、Instagramで発見された、一見無関係に見える類似の発見に関するものです。また、Facebookは、ユーザーのデータが侵害されたことを個別に、あるいは公式のセキュリティ情報を通じてユーザーに通知していなかったことを認めています。
アイルランドのデータ保護委員会は火曜日の声明で、この情報漏洩に関して「フェイスブックから積極的な連絡は受けていない」と述べた。
委員会がまとめたタイムラインによると、「Facebookウェブサイトの大規模なスクレイピングに関する以前のデータセットは2019年と2018年に公開されており、Facebookは当時、このスクレイピングは2017年6月から2018年4月の間に発生し、その間にFacebookは電話番号検索機能の脆弱性を解消したと報告していました」と述べている。「スクレイピングはGDPR施行前に行われたため、FacebookはGDPRに基づく個人データ漏洩としてこれを通知しませんでした。今回公開されたデータセットは、2018年(GDPR施行前)のオリジナルデータセットに、それ以降の期間の記録と思われる追加記録が組み合わされているようです。」
Equifax から Yahoo まで、データ セキュリティの過去、現在、未来、そして社会保障番号の問題について知っておくべきすべてのこと。
Facebook社は、2019年の連絡先インポーター脆弱性の悪用についてユーザーに通知しなかったのは、Facebook社自身や他社から取得された半公開のユーザーデータが世界中に大量に存在するためだと述べている。さらに、攻撃者は電話番号を入力し、その機能を操作して対応する名前やそれに関連するその他のデータを吐き出す必要があり、Facebook社は電話番号そのものは漏洩していないと主張している。「悪意のある攻撃者がこのデータを入手したのは当社のシステムをハッキングしたのではなく、2019年9月より前に当社のプラットフォームからデータをスクレイピングしたということを理解することが重要です」とクラーク氏は火曜日に書いている。同社は、合法的な機能の脆弱性を悪用して大量スクレイピングを行うことと、システムの欠陥を見つけてバックエンドからデータを取得することを区別しようとしている。それでも、前者は脆弱性の悪用である。
しかし、影響を受けた人々にとって、これは全くの別物です。攻撃者は、ありとあらゆる国際電話番号を検索し、ヒットしたデータを集めるだけで済みます。Facebookのバグは、電話番号と名前などの公開情報との間に欠けていた関連性を悪意のある攻撃者に提供しました。
電話番号はかつて電話帳に掲載され、今でも公開されていることが多いですが、デジタルライフの様々な場面にユーザーを結びつけるユビキタスな識別子へと進化したため、攻撃者にとって新たな重要性と潜在的な価値を持つようになりました。電話番号は、SMSや電話で二要素認証コードを受け取る際に本人確認情報を提供するためのパスウェイとなるため、機密性の高い認証にも利用されています。電話番号がデジタルセキュリティにとって不可欠であるという考えは、決して新しいものではありません。
「パスワードやその他の極めて機密性の高いデータが含まれていないからといって、侵害が深刻ではないと考えるのは誤りです」と、セキュリティ企業ZeroFoxの脅威情報担当ディレクター、ザック・アレン氏は語る。「古いデータだからといって、状況はそれほど悪くないと考えるのも誤りです。さらに、電話番号を認証手段として使うのは、残念ながら最近よく使われるのですが、本当に恐ろしいです。」
Facebook側は、ユーザーの電話番号の取り扱いを何度も不適切にしてきました。かつては、同社のGraph Search APIツールを通じて、電話番号を大規模かつ容易に収集することができました。Graph Searchは、ユーザーがプロフィールで公開設定している電話番号などのデータのみを表示していたため、当時はこれをセキュリティ上の脆弱性とは考えていませんでした。しかし、数年経つにつれ、たとえ個々のユーザーが公開設定を選択した場合であっても、そのようなデータを容易にスクレイピングできることが問題であるとFacebookは認識するようになりました。全体として、これらの情報は、個人が意図していなかったであろう規模の詐欺やフィッシングを可能にする可能性があります。
2018年、Facebookはユーザーの2段階認証に使用している電話番号に基づいて広告をターゲティングしていたことを認めました。同年、同社は電話番号やメールアドレスを使ってFacebook上で他のユーザーを検索できる機能を無効化しました。この機能は、スクレイパーによって再び悪用されていました。Facebookによると、これはTechCrunchが2019年に報じたデータ収集にサイバー犯罪者が使用したツールです。
しかし、ユーザーの電話番号をロックするためのこうした措置やその他の対策にもかかわらず、Facebookは2019年のデータ侵害について依然として完全な情報を開示していない。連絡先インポート機能はやや問題を抱えており、同社は2013年と2017年にも同機能の脆弱性を修正している。
一方、Facebookは2019年7月、深刻な懸念を抱かせる膨大なデータプライバシー違反をめぐり、FTCと画期的な和解を締結しました。50億ドルの罰金を支払い、前述のセキュリティ認証関連の電話番号の代替利用を中止するなど、一定の条件に同意した代わりに、Facebookは2019年6月12日までのすべての活動について免責されました。
連絡先インポートの不正利用がその後発生したかどうか、そしてFTCに報告されるべきだったかどうかは、依然として不明です。この件で確かなのは、5億人を超えるFacebookユーザーが、本来であればオンラインで安全でいられなかったであろう状況に陥り、Facebookが約2年前に警告できたはずの新たな詐欺やフィッシングの波に晒される可能性があるということです。
WIREDのその他の素晴らしい記事
- 📩 テクノロジー、科学などの最新情報: ニュースレターを購読しましょう!
- 遺伝の呪い、怯える母親、そして胚を「修復」するための探求
- ラリー・ブリリアントはパンデミックの終息を早める計画を立てている
- Facebookの「レッドチームX」は社壁の外でバグを狩る
- 適切なノートパソコンの選び方:ステップバイステップガイド
- レトロなゲームがこれほど愛される理由
- 👁️ 新しいデータベースで、これまでにないAIを探索しましょう
- 🎮 WIRED Games: 最新のヒントやレビューなどを入手
- 🎧 音に違和感を感じたら、ワイヤレスヘッドホン、サウンドバー、Bluetoothスピーカーのおすすめをチェック!
