ソフトウェアメーカーが毎回すべてのバグを見つけることはできないが、Facebook は「連絡先のインポート」機能のプライバシー問題について十分な警告を出していた。
セキュリティ研究者は長年にわたり、Facebookの「連絡先インポート」ツールの問題点を指摘してきた。写真:Aly Song/REUTERS/Alamy
5億人を超えるFacebookユーザーのプロフィール名、メールアドレス、電話番号が、約1週間にわたってオンライン上に公開されています。Facebookが根本原因を認めるまでに数日かかり、同社は2019年にこの問題は修正済みだとしています。しかし現在、研究者たちは、Facebookはそれより何年も前から同様の脆弱性を認識しており、そもそも大量スクレイピングを防ぐためにもっと努力できたはずだと指摘しています。
問題となっているのは、Facebookの「コンテンツ・インポーター」機能です。これは、ユーザーのアドレス帳をくまなく調べて、Facebookを利用している知り合いを見つけるものです。多くのソーシャルネットワークやコミュニケーションアプリは、一種の社交の潤滑油として、この機能の何らかのバージョンを提供しています。しかし、特にFacebookの連絡先インポートツールは、長年にわたり、多くの既知の問題を抱えており、その修正が行われたとされています。
「他の企業も同様に今、不安を感じているはずです。Facebookだけではありません」と、2017年にFacebookの連絡先インポート機能の脆弱性を同社に報告したベルギーのセキュリティ研究者、インティ・デ・セウクレレール氏は語る。「しかし、Facebookにとって、成長が危ぶまれる状況になると、ユーザーのプライバシーを守るために何かを修正することを躊躇するのは、常に繰り返されるパターンです。」
デ・セウクレレール氏と他の研究者は、既に同様の問題についてFacebookに警告していました。2012年、Facebookは変更を加え、サイトの「ユーザー情報のダウンロード」ツールから、ユーザーが連絡先インポート機能で入力していない電話番号とメールアドレスが漏洩するようになりました。2013年、ある研究者がこの問題をFacebookに報告し、2018年にはカナダのプライバシー保護コミッショナー事務局とアイルランドのデータ保護コミッショナー事務局がこの調査結果について調査を行いました。
「当局は、フェイスブックが侵害以前に、ユーザーと非ユーザーの個人情報を保護するための適切な安全対策を講じていなかったと判断した」と調査で判明した。
この事件は、最近のFacebookの騒動とは異なります。当時、攻撃者は100カ国以上から電話番号の候補を列挙し、それらを連絡先インポートツールに送信することでFacebookを「スクレイピング」し、ユーザーがプロフィールに投稿した名前、Facebook ID、その他のデータを返すように操作しました。それでも、この事件は、連絡先インポートツールが機密データにアクセスする可能性があること、そしてこの機能のバグや不注意な動作を注意深く監視する必要があることを示唆しています。
デ・セウクレレール氏の2017年の調査は、攻撃者が最近の膨大なデータセットをスクレイピングするために使用した手法に、より直接的に関連している。「Facebookで個人の電話番号を漏洩するのは比較的簡単であり、ベルギーの著名人や政治家の電話番号もいくつか発見できた」とデ・セウクレレール氏は2017年2月に記している。「このトリックはベルギーのような小さな国(人口約1120万人)でしか機能しないようだが、この単純ながらも効果的なプライバシー漏洩によって、相当数の人々が影響を受けることになる。」
デ・セウクレレール氏は、電話番号を列挙し、Facebookの連絡先インポート機能を通じて対応するユーザー情報を抽出する、手動の、やや限定的ではあるがそれでも効果的な方法を発見した。彼はその発見をFacebookのバグ報奨金プログラムに提出したが、WIREDが確認したやり取りの中で、同社はこの問題は報奨金の対象にはならないと述べた。
しかし、研究者は2つの重要な点を指摘した。第一に、攻撃者は電話番号列挙攻撃を通じて、連絡先インポート機能を悪用するより強力かつ効率的な方法を模索する可能性が高い。Facebookは当時、デ・セウクレレール氏に対し、連絡先インポート機能のレート制限(送信可能な最大件数)を見直す可能性があるものの、この問題を脆弱性とは見なしていないと伝えた。さらにデ・セウクレレール氏は、Facebookプロフィールの情報に対して設定したプライバシーコントロールが、「誰が私を検索できるか」という別のFacebookプライバシー設定によって損なわれる可能性があることをユーザーが理解していない可能性を指摘した。
Facebookでは、電話番号とメールアドレスを「自分のみ」に公開設定できます。しかし、「検索できるユーザー」という全く別の設定もあり、連絡先インポートツールを使って電話番号またはメールアドレスでFacebook上であなたを見つけることができるかどうかを指定できます。プロフィールで電話番号を「自分のみ」に設定していても、「検索できるユーザー」では「全員」に設定できます。その場合、誰かがあなたの電話番号を推測した場合、その番号をFacebookで公開されている他の情報と関連付けることができてしまいます。
デ・セウクレレール氏の調査時点では、Facebookは「検索できるユーザー」設定の中に「自分のみ」というオプションすら提供していませんでした。選択肢は「全員」「友達の友達」「友達」でした。2019年5月に「自分のみ」オプションが追加されました。「設定とプライバシー」「設定」「プライバシー」と進み、「他のユーザーがあなたを見つけて連絡する方法」までスクロールすると、「検索できるユーザー」のメールアドレスと電話番号設定があります。この機能はデフォルトで「全員」に設定されています。
そして、2019年のユーザーデータ流出がついに公表されました。Facebookは、この流出を可能にした具体的な技術的メカニズムについてはまだ説明していません。しかし、@ZHacker13という名の研究者が2019年8月に、Instagramの連絡先インポート機能のバグに関する脆弱性レポートを提出しました。このバグは、電話番号列挙攻撃によってユーザーデータを引き出す可能性があり、その攻撃は2017年にDe Ceukelaireが実演した攻撃よりもさらに自動化され、効率的でした。Facebookは最終的に2019年9月に、セキュリティチームは「内部調査により既にこの問題を認識していた」と発表しました。
しかし当初、Facebookは@ZHacker13に対し、列挙型脆弱性は「攻撃者がメールアドレスや携帯電話番号がどのユーザーIDに紐付けられているかを特定できる」という具体的な条件がない限り、「極めて低リスク」だと説明していました。@ZHacker13の発見はまさにその条件を満たしていました。2019年9月、Forbes誌は@ZHacker13の一連の情報開示について報じました。
「当初、Facebookは私の報告を正当なものとして認めようとしませんでした。完全な概念実証を提出したにもかかわらずです」と@ZHacker13は木曜日にWIREDに語った。「Forbesと話をした後、彼らは間違いに気づき、問題を修正し、4,000ドルという少額の報奨金を支払ってくれました。」
FacebookはInstagramの連絡先インポートの脆弱性を公式に認め、「悪意のあるユーザーがInstagramを模倣し、電話番号を検索してどのユーザーのものかを特定できる可能性がある」と述べている。
この声明は、攻撃者が5億人以上のユーザーからデータを収集することを可能にした脆弱性についてFacebookが火曜日に説明した内容と一致する。「悪意のある攻撃者がソフトウェアを使用して当社のアプリを模倣し、大量の電話番号をアップロードしてFacebookユーザーに一致するものを探すことを防ぐために変更を加えました。」
Facebookは今週、スクレイパーの阻止は終わりのないいたちごっこであると一貫して強調してきた。同社はまた、漏洩したデータは健康情報や金融情報ほど機密性が高くないと主張している。また、スクレイピングによるデータの窃取は、攻撃者が「当社のシステムをハッキングして」データを盗み出したことを意味するわけではないと述べている。しかし、Instagramの発見に対して渋々ながらバグ報奨金を支給することで、Facebookは連絡先インポートツールにおけるこの種の問題を脆弱性と見なしていることを公に認めたことになる。
最近の漏洩のタイムラインの詳細は依然として不明な点がいくつかある。Facebookはスクレイピングが「2019年9月より前に」行われたと述べているが、正確な日時、何件のインシデントが関係していたか、Facebookが悪意のある活動をいつ知ったかについては明らかにしていない。データセットの分析から、少なくとも2018年には開始され、おそらくは2019年6月まで続いたと思われる、複数のスクレイピングセッションで寄せ集められたことが示唆されているようだ。しかし、同社の慎重な言葉の選択は、米国連邦取引委員会を含む世界中のさまざまな法律や協定の下で、データ侵害を開示しなかったとして調査される可能性があるという懸念を反映している可能性が高い。Facebookは2011年と2019年6月の両日、FTCと協定を結んでおり、それによって同社は発見した情報をFTCに開示することが義務付けられていたようだ。
「ハッキングされていないことを示すために非常に慎重に行動していることを考えると、彼らは重大な責任を問われる可能性があることをおそらく非常に意識していると思う」と、連邦取引委員会の元主任技術者アシュカン・ソルタニ氏は言う。
WIREDのその他の素晴らしい記事
- 📩 テクノロジー、科学などの最新情報: ニュースレターを購読しましょう!
- オーディオのプロがヴィンテージトラックを「アップミックス」して新たな命を吹き込む
- Oculus riftから5年、VRとARは今後どこへ向かうのでしょうか?
- YouTubeに不気味なMinecraftの問題がある
- 古くなったスマートフォンのバッテリーを交換する方法
- パンデミック後の狂騒の20年代の夏は私を怖がらせる
- 👁️ 新しいデータベースで、これまでにないAIを探索しましょう
- 🎮 WIRED Games: 最新のヒントやレビューなどを入手
- ✨ ロボット掃除機からお手頃価格のマットレス、スマートスピーカーまで、Gearチームのおすすめ商品であなたの家庭生活を最適化しましょう
リリー・ヘイ・ニューマンは、WIREDのシニアライターとして、情報セキュリティ、デジタルプライバシー、ハッキングを専門としています。以前はSlate誌のテクノロジー記者を務め、その後、Slate誌、ニューアメリカ財団、アリゾナ州立大学の共同出資による出版物「Future Tense」のスタッフライターを務めました。彼女の著作は…続きを読む
