Facebookの強制マルウェアスキャンは侵入的で透明性に欠ける

2月11日、オレゴン州在住のSF作家チャリティがFacebookにログインしようとしたところ、アカウントが完全にロックアウトされてしまいました。ログインを再開するにはFacebookのマルウェアスキャナーをダウンロードする必要があるというメッセージが表示されました。スキャンを完了するまでFacebookを利用できませんでしたが、Facebookが提供したファイルはWindowsデバイス用のものでした。チャリティはMacを使用しています。

「ダウンロードして使うように要求されたソフトウェアを実際に実行することはできませんでした」と彼女は言います。職場のパソコンからログインしようとした時も、Facebookは同じエラーメッセージを表示しました。「私のデバイスが何かに感染しているかどうか、Facebookが知る術がないのは明らかです。どのパソコンからアカウントにアクセスしようとしても同じメッセージが表示されていたのですから」とチャリティは言います。

Facebookの広報担当者は、一部のマルウェアはユーザーが使用しているコンピュータの種類を偽装する可能性があるため、チャリティさんは間違ったソフトウェアをダウンロードするように求められた可能性があると述べました。しかし、チャリティさんはアカウントにアクセスする手段を失ってしまいました。そして、彼女の経験は決して珍しいものではありません。

スキャントロン

インターネットには、Facebookのマルウェア対策に不満を抱くユーザーがたくさんいます。4年近くもの間、フォーラム、Twitter、Reddit、そして個人ブログなどで、Facebookのマルウェア対策スキャンについて不満が寄せられてきました。最近、問題はさらに悪化しているようです。以前はオプションだったこのサービスは、Facebookがマルウェアのフラグを立てたデバイスにインストールを義務付けるようになりました。また、WIREDが最近スキャン実行を促されたユーザーのスクリーンショットを確認したところ、Facebookはもはやユーザーが使用するデバイスの種類を選択できないようにしているようです。この設定であれば、チャリティさんの事件は防げたはずです。

マルウェアスキャンは、Facebookの数十億ユーザーのうち、比較的少数のユーザーにしか影響を与えない可能性が高い。彼らのコンピューターは実際に感染している可能性もある。しかし、たとえFacebookユーザーのほんの一部であっても、影響を受けるのは数百万人に上る可能性がある。この強制スキャンは、広範囲にわたる混乱と不満を引き起こしている。WIREDは、スキャンによってアカウントにアクセスできなくなった人や、単に困惑した人に、4つの大陸で話を聞いた。

強制的なマルウェアスキャンには、アカウントへのアクセスを失う以外にもデメリットがあります。Facebookユーザーからは、この機能の設計が不十分で、実装に一貫性がないという報告が頻繁に寄せられています。場合によっては、別のユーザーが同じデバイスからFacebookにログインしても、マルウェアの警告メッセージが表示されないことがあります。同様に、「感染」したユーザーがブラウザを変更するだけで、メッセージが消えてしまうこともあるようです。

「これは実際には、特定のブラウザを使用している特定のFacebookユーザーに関連付けられています。別のアカウントに変更するか、ロックアウトされたアカウントでChromeではなくSafariを使用すると、スキャナーダイアログが表示されません」と、Facebookのコメントスレッドで複数のGoogleドキュメントを共有した後、アカウントがロックアウトされたドイツ在住のFacebookユーザー、アナトール・ウルリッヒ氏は語る。彼もまた、MacデバイスでWindowsファイルをダウンロードするよう促された。

Facebookの広報担当者ジェイ・ナンカロウ氏は声明で、「特定のデバイス上の各アカウントに対する当社の可視性は、特定のアカウントが不審な行動をとっているかどうかを考慮せずに、デバイスのみに基づいてチェックポイントを設定するには不十分です」と述べた。ある意味では、これは安心材料になるかもしれない。Facebookは、マルウェアに感染しているかどうかを判断できるほど十分な情報を収集していないからだ。

しかし、Facebookが確実に把握していないのであれば、なぜユーザーにデバイスのクリーンアップを強制するのでしょうか？ウイルス対策ソフトウェアは強力なツールであり、コンピューター上のほぼすべての情報にアクセスできます。Facebookとそのサイバーセキュリティパートナーに、そのようなレベルのアクセスを許可したくないと考えるユーザーもいるでしょう。ウイルス対策ソフトウェアやマルウェア対策ソフトウェア自体にも脆弱性があり、例えば2016年には、GoogleのTravis Ormandy氏がSymantecのすべてのウイルス対策製品に重大な欠陥を発見しました。

Facebookは、マルウェアスキャンの提供元としてどのパートナーに依存しているかについて、ユーザーに対して定期的に情報提供を行っていないようです。Facebookは2014年5月にマルウェア検出システムへのスキャンの統合を開始し、当時の発表ブログ記事によると、F-SecureとTrend Microから提供される予定でした。2014年12月にはESETを追加し、2015年にはKaspersky Labも追加すると発表しました。

Facebookは昨年、ロシアが同社のウイルス対策ソフトウェアを悪用して米国政府の機密データを探していたとの報道を受け、カスペルスキーとの提携を停止した。F-Secureも昨年Facebookとの提携を停止したが、Facebook側はこの変更を発表していなかったと述べている。「ご指摘いただきありがとうございます。現在の提携企業を反映させるため、資料を更新いたします」とナンカロウ氏は声明で述べた。

ESETとトレンドマイクロはいずれもFacebookとの協力を継続するとしているものの、Facebookがスキャン機能をどのように扱うかについては、自社では管理権限がないことを強調した。「ESETには、ユーザーをFacebookアカウントから締め出したり、誰かのアカウントのロックを解除したりする権限はありません。この問題が発生した場合は、Facebookのサポートにご連絡いただくことをお勧めします」とESETの広報担当者は声明で述べた。

透明性がない

しかし、たとえ正規のソフトウェアパートナーと提携していたとしても、Facebookのマルウェアスキャン通知は、ウェブ上の他の場所での危険な行動を促す可能性があります。コンコルディア大学のセキュリティ研究者で、ウイルス対策の脆弱性を研究しているモハマド・マナン氏は、「この通知は、ユーザーを偽のウイルス対策製品（その多くはランサムウェア）を受け入れたりインストールしたりするように仕向ける可能性があります」と述べています。「つまり、ランダムに選んだサイトにアクセスすると、あなたのマシンは感染しており、すぐに駆除する必要があるという恐ろしいポップアップが表示され、インストールに同意した場合は身代金を要求されるのです。」

ニュージーランドの実業家ジャック・ヤン氏は、2016年にFacebookのマルウェア検出機能を実行したところ、自身のアンチウイルスソフトが消えてしまったと報告しています。Facebookは、この件について公式コメントを拒否しました。Facebookがヤン氏に使用を義務付けていたカスペルスキー社のアンチウイルスソフトが、ヤン氏のマシン上の他のプログラムを自動的に削除した可能性があります。この事件の後、ヤン氏は自身の体験を記したブログ記事を投稿し、同様の不具合を経験した多くのFacebookユーザーがその記事に注目しています。

「ここ数年で話したほとんどの人は、自分のシステムはクリーンで、独自のウイルス・マルウェア検出ツールを使っていたと言っていました」とヤン氏は言う。「私も当時、クリーンであることが確認されていました。」

Facebookは、マルウェアスキャナーの警告を目にしたユーザー数について、具体的な数字を明らかにしていない。おそらく、実際のところ把握できていないためだろう。Facebookがカスペルスキーとの提携を中止した際、同社は「Facebookユーザーがカスペルスキーのソフトウェアをダウンロードした数を容易に特定することはできない」と述べた。唯一公表されている数字は、2015年のブログ投稿で、Facebookは3ヶ月間で「200万人以上のコンピューターのクリーンアップを支援した」と述べている。

Facebookは、マルウェアスキャンを実施するサイバーセキュリティパートナーから収集したデータをどのように利用しているかについても、情報を提供していない。「Facebookはウイルス対策パートナーからどのような情報を収集しているのでしょうか？」とマンナン氏は疑問を呈する。「ウイルス対策製品は、ユーザーの端末から多くの有用な情報（テレメトリデータなど）を収集し、Facebookがウェブサイトから収集する情報以外にも、Facebookと共有する可能性があります。Facebookはウイルス対策パートナーとの契約内容を公表すべきです。」

Facebookは、ユーザーがスキャンに同意する際に、スキャンで収集されたデータは「Facebook内外のセキュリティ向上のため」に使用されると説明していますが、その説明は曖昧です。マルウェアチェックで収集したデータを具体的にどのように使用しているかについてのコメント要請に対し、同社はすぐには回答しませんでした。

Facebookが自社のサービスからマルウェアを排除したいと考えるのには正当な理由があります。詐欺師、ハッカー、さらには仮想通貨マイナー志願者までもが、FacebookとFacebook Messengerを標的にしてきました。しかし、Facebookがユーザーにマルウェアスキャンを強制し続けるのであれば、透明性の向上にも努めなければなりません。

ウイルス対策の強化