「悪いともだち」には気をつけろと、子供の頃に両親から言われた事がある方は多いかと思いますが、デジタルネイティブの時代での悪いともだちは、何も人だけでは無いようです。
www.asahi.com
公式発表
・The Facts on News Reports About Facebook Data (4/6)
問題のデータは、2019年9月より前に、連絡先インポーターを使用して悪意のある攻撃者によってFacebookプロファイルから取得されたと考えられます。この機能は、連絡先リストを使用して、サービスで接続する友達を簡単に見つけることができるように設計されています。
2019年に悪意のあるアクターがこの機能をどのように使用しているかに気付いたとき、連絡先インポーターに変更を加えました。この場合、悪意のある攻撃者がソフトウェアを使用してアプリを模倣し、多数の電話番号をアップロードして、どの電話番号がFacebookユーザーと一致するかを確認することを防ぐために更新しました。以前の機能を通じて、ユーザープロファイルのセットをクエリし、パブリックプロファイルに含まれるユーザーに関する限られた情報のセットを取得することができました。情報には、財務情報、健康情報、またはパスワードは含まれていませんでした。
(公式発表より引用)※機械翻訳
キタきつねの所感
Facebookの106か国の5.3億人のユーザーデータの漏えいは、突如話題(騒ぎ)になりましたが、Facebookの公式発表(見解)を見ると、2019年に発覚した脆弱性に紐づいている様で、恐らくその頃に漏えいしたデータという事の様です。
この前の年、2018年にはケンブリッジ・アナリティカの5,000万件のデータ漏えいの事件が起きていますが、2019年にも5億件弱(当時)の漏えいが大騒ぎになりました。
今回の漏えい規模と時期から考えると、この際に多くの”不正アクセス”があり、そのどこかのルートでの漏えい情報が、今回のデータ漏えいの「大元」である可能性が高い様です。
jp.techcrunch.com
Facebook(フェイスブック)アカウントにリンクする何億もの電話番号がオンライン上で見つかった。
暴露しているサーバーには、米国ユーザー1億3300万件、英国ユーザー1800万件、ベトナムユーザー5000万件の記録を含め、世界各地のユーザーに関する4億1900万超の記録が含まれていた。このサーバーはパスワードで保護されていなかったため、誰でもデータベースを見つけてアクセスできた。
(TechCrunch記事より引用)
Facebookの公式発表の下の方にはさりげなく、去年10月の関連ニュースのリンクが貼ってあって、「Facebookとしても法的措置で対抗していますよ」という事をPRすると共に、今回のデータ漏えいが「データスクレイピング」手法によって悪意の第三者によって窃取されたものである事を示唆しています。
この記事では、TechCCrunchの記事(誰でもDBが閲覧できた可能性がある脆弱性)とは違い、ユーザーとの友達リスト機能の悪用(データスクレイピング)について書かれており、2019年当時にはFacebookが大きく2つの脆弱性を抱えていたという事なのかと思います。
スクレイピングは、ウェブサイトやアプリからデータを抽出する目的で、不正な自動化に依存するデータ収集の一形態です。これらの企業は、スクレイピングに対する保護を回避するために、データにアクセスして収集するように設計された「UpVoice」および「AdsFeed」と呼ばれる一連のブラウザ拡張機能を通じてユーザーのサービスへのアクセスを利用しました。人々が拡張機能をインストールして当社のWebサイトにアクセスすると、ブラウザー拡張機能は自動プログラムを使用して、名前、ユーザーID、性別、生年月日、関係ステータス、場所情報、およびアカウントに関連するその他の情報を取得しました。被告の拡張機能は、スクレイピングされたデータをBrandTotalとUnimaniaが共有するサーバーに送信しました。
このケースは、ユーザーデータを取得する企業、およびそれらを有効にする企業を混乱させ、強制するための当社の行動の最新の例です。今年の6月、私たちは2つの大陸で、スクレイピングと偽のエンゲージメントを可能にする自動化ソフトウェアサービスを提供する企業と個人に対して訴訟を起こしました。これは、ソーシャルメディア企業が管轄区域全体で調整された法的戦略を使用して規約を施行し、ユーザーを保護した最初の1つでした。これらの訴訟を提起する前に、私たちは彼らのアカウントを無効にし、排除措置の手紙を送りました。彼らが私たちの警告を無視した後、私たちは追加の法的措置を取りました。
2019年3月、クイズアプリとブラウザ拡張機能を使用してデータを収集し、Facebookのプロフィール情報とユーザーの友達リストを取得していた2人のウクライナの開発者に対して法的措置を取りました。また、アカウントとアプリを無効にして、排除措置の手紙を送りました。カリフォルニア州の裁判所は最近、その事件について私たちに有利な判決を勧告しました。別のケースでは、カリフォルニアの別の裁判所も、2019年のスクレイピングに対する私たちの慣行に賛成する判決を下しました。
(Facebook投稿より引用)※機械翻訳)
上記の「クイズアプリ」が使われた例は、ケンブリッジ・アナリティカの手法と一部似ている気がしますが、正規のアプリ開発者が取得できるユーザ情報を、更に悪用して個人情報を窃取する手法が、ケンブリッジ・アナリティカの再発防止策を潜り抜けたと推測します。
※ケンブリッジ・アナリティカは性格診断(クイズ)の回答者だけでなく、回答したユーザの友達のデータも収集される様に設計されていて、開発者が故意に必要以上のデータをユーザから収集できる脆弱性が突かれ、3000万人とも言われるユーザデータが漏えいしたと言われる事件です。(同社は当時の大統領候補トランプ氏の当選を助けたとも言われています)
想像でモノを言うのは良くない事ですが、Facebookは大量にデータを窃取される(自動的に個人情報を抜かれる)攻撃に対する「監視対策」に不備があった気がします。
さて、今回のFacebookユーザ5.3億件のデータ漏えいは、人気ハッカーフォーラムで公開されたデータに基づく様です。
販売データは当初有償で、2020年6月頃から当初3万ドルで販売が開始されていたものが、無料(もしくは低額)で公開される様になった事から、SNS等でも話題を集めて世間に知られる様になったと考えられます。
この動きに最初に気づいたのがセキュリティ企業HundsonRockのCTOであるAlonGal氏だと言われており、以下のTwitterでの投稿から色々な所で調査が進んでいます。
全体データの国別の内訳も出ており(※以下AlonGal氏のTwitter投稿から引用します)、約42.9万件のデータが、漏えいデータに含まれている様です。
日本のFacebookユーザは約2,600万人と言われているので国内ユーザの約1.7%にすぎません。日本人はそう巻き込まれていない様です。
socialmediaexperience.jp
Facebookがコメントを出している内容から考えると、日本人が少ないのはデータ漏えいの起因となった可能性がある「ソフトウェア」(恐らく英語版)に、あまり日本人が引っかからなかった事が大きい気がします。
この仮説があっているとすれば、海外に友達を多く持つ(電話帳登録されている)方は悪いともだちに「少し警戒」が必要かも知れません。
既に色々な所で紹介されていますが、個人情報漏えい時に匿名で情報漏えいがあったかどうかを調べられる便利なサイト、「Have I been Pwned」がFacebookの漏えいデータ対応済なので、ご心配の方は、こちらのサイトを使われると良いかと思います。
余談です。今回のFacebook漏えいインシデントで話題となっているのが、Facebook CEOのザッカーバーグ氏が自社のWhatsappを使わずに、ライバルアプリでもある「Signal」を使っていたという事。
※現在はこのアカウントは閉じられている様です
CEO自ら、Whatsappの安全性がアレであると・・・言っている気がしますね。
本日もご来訪ありがとうございました。
Thank you for your visit. Let me know your thoughts in the comments.
更新履歴