Facebookからまたユーザーのデータが流出。情報漏洩、次はあなたの番かも

個人的な情報をさらす大規模なデータ流出を回避するのは、ほぼ不可能に近い。
Bloomberg via Getty Images

ユーザーの個人情報保護に失敗したFacebookから、またもやの発表だ。あなたは今回、コーディングエラーにより1年以上アカウント情報が漏洩されていた5000万人のうちの1人だろうか(Facebookの情報を小出しにしていくこれまでのスタイルを考慮すると、情報流出のアカウントの数が増えることは大いにあり得る)。もし対象でなかったのなら、心配しなくてもいいーいずれFacebookが守り損ねてあなたの順番は回ってくる。Facebookはユーザーの安全を守ることはできない。

Facebookは、ユーザーの安全とプライバシーよりもプロダクトアジェンダを優先してきたことを繰り返し証明してきた。仮にそうした証明をしていなかったとしても、Facebookの性質とスケールでは極めて個人的な情報をさらす大規模なデータ流出を回避するのはほぼ不可能に近い。

一つには、Facebookはあまりにも巨大になりすぎて、隅から隅まで完全に安全を確保することは無理なのだ。それが証明されたのが今回のデータ流出であり、ハッカーはFacebookが展開していた機能により何百万ものユーザーアカウントにログインできるようになっていた。1年以上にもわってその状態が続いていた。

正確には、今回の漏洩は最悪のケースのシナリオではないが、それに近い。Facebookにとっては、これ以上にアカウントがおかしなことになるということはないだろうーハッカーのアクティビティが通常のユーザーアクティビティそのままに映っていたかもしれないのだ。存在するログインを使ってのハッキングなので、ユーザーは二段階認証で通知されない。アプリをインストールする? セキュリティ設定を変更する? あなたの個人データをエクスポートする? 全てのことがハッカーにはできる。しかもかなり上手に。

これは、Facebookがあまりにも巨大かつ複雑で、たとえ世界で最も優秀なソフトエンジニアでもってしても、実際そうしたエンジニアが働いているのだが、今回問題となったバグのような予期できない結果を回避できるほどデザインしたりコードを書いたりはできないためだ。

少しステップを飛ばした説明のように聞こえるが、単に"テックは難しい"と言おうとしているのではない。現実的に言って、Facebookはあまりにも動いているパーツを抱えすぎていて、人が全く誤りなくそれらを動かすというのは無理なのだ。これまで漏洩が少なかったというのはFacebookの専門家にとっては勲章だ。Cambridge Analyticaのような大きなものは、コード絡みではなく判断ミスだ。

欠陥は不可避であるばかりでなく、ハッキングコミュニティをかなり刺激するものでもある。Facebookはこれまでのところ史上最大、そして最も価値のある個人データのコレクションを持つ。これにより、ターゲットとなるのは自然なことで、いいカモというわけではないが、ハッカーは時間のあるときにスクリプトに脆弱なところを見つけ出そうとしている。

Facebookが言うには、先週金曜日に見つかったバグはシンプルなものではなかった。ピースをつなぎ合わせ、脆弱さを生み出すという行為はコーディネートされ、また洗練されたプロセスだ。これを行なった人は専門家で、今回の作業で大きな報酬を受け取っているだろう。

欠陥の結果はまた大きなものだった。全ての卵は同じバスケットに入っている。今回のようなたった一つの問題が、プラットフォームにあなたが入力した全てのデータを、そしてもしかすると友人があなただけに見せた全てのこともさらしてしまうことができる。それだけでなく、ごく小さなエラーでも、コードにおけるマイナーエラーの極めて特異な組み合わせにより、膨大な数の人に影響を及ぼすことがある。

もちろん、ソーシャルエンジニアリングを少ししか行なっていないような、あるいは設計がいまひとつのウェブサイトでも、誰かがあなたのログインやパスワードを使ってアクセスするということはあり得る。これは正確にはFacebookのエラーとはならないのかもしれない。しかしFacebookがデザインした方法ー全ての個人情報を倉庫に集中させるーにより、マイナーなエラーがプライバシーの完全喪失につながることがあるかもしれないというのは紛れなもない事実だ。

他のソーシャルプラットフォームはもっとうまくできるかもしれない、と言っているわけではない。Facebookはあなたの安全を確保する方策を持ち合わせていない、ということが今回また明らかになったと言いたいのだ。

もしあなたのデータが盗まれていないのなら、Facebookはいずれそのデータをうっかり漏らすことになるだろう。なぜならそのデータはFacebookが持つ唯一価値あるもので、それは誰かがお金を払ってでも欲しいと思うものだからだ。

最もデータがさらされたものとしては、Cambridge Analyticaのスキャンダルがある。これは、ゆるいアクセスコントロールで膨大な量のデータセットを誤用するという、おそらく何百も行われているオペレーションの一つだ。データを安全に管理するのがFacebookの業務だが、彼らはデータが欲しいという誰かにあげてしまった。

ここでは、たった一つの欠陥がデータの暴露につながったということだけでなく、欠陥は二つめ、三つめと次から次に出てくるだろうということも注目するに値する。あなたがオンラインに打ち込んだ個人情報は、マジックのように簡単に取り戻すことはできない。たとえば、あなたのクレジットカードスキミングされて複製されれば、悪用のリスクは現実のものとなるが、新しいカードにすれば悪用を止められる。個人情報についても、ひとたび盗まれれば、それまで。あなたのプライバシーは不可逆的なダメージを受ける。Facebookにはそれをどうすることもできない。

いや、それは正確ではないかもしれない。たとえば、3カ月より以前の全てのデータをサンドボックス化して、アクセスするには認証が必要、というふうにすることもできる。これだと、情報漏洩のダメージをある程度抑えられる。またこの手法ではサンドボックスに入ったデータへの広告プロフィールのアクセスを制限することにもなる。なので、何年にもわたるデータの分析に基づいて、あなたのシャドープロフィールのようなものをを構築するということにはならない。これはまた、あなたが書いたもの全てを読まず、その代わり広告のカテゴリーをあなたが自分でレポートすることにもなる。これにより、多くのプライバシー問題が解決するかもしれない。しかし、そうはならないかもしれない。これだと、収入にならないから。

Facebookが守れないもう一つのことは、Facebook上のコンテンツだ。スパム、ボット、ヘイト、エコーチェンバーこれら全てがFacebook上でみられる。2万人を擁する強力なモデレーションチームが内容をチェックする作業にあたっているが、明らかに十分ではない。もちろん、世界の文化や法律などは複雑で、この点に関しては常に争いや不幸が伴う。できることといえば、公開されたりストリームされたりした後で不適切な部分を削除することくらいだ。

繰り返しになるが、プラットフォームを悪用しようとする人がいるというのは、正確にはFacebookの過失ではない。究極的にはそうした輩が悪いのだ。しかしFacebookはそうした輩からあなたを守ることができない。新たにつくられる危害のカテゴリーを予防することはできないのだ。

これについて、あなたに何ができるだろうか。何もできない。もうあなたの手に負えない。たとえあなたが今すぐFacebookをやめたとしても、あなたの個人情報はすでにリークされているかもしれず、そうだとしたらオンラン以上で増殖するのを止めることはできない。もしまだリークされていなかったとしたら、それは時間の問題となる。あなたにも、そしてFacebookもどうすることもできない。我々が、そしてFacebookもこの事実を新たな常態として受け入れれば、我々はセキュリティとプライバシーのための真の方策の模索に踏み出せる。

(2018年10月3日TechCrunch Japan「Facebookはユーザーの安全を確保できない」より転載)