BLOG
2018年10月15日 15時06分 JST | 更新 2018年10月15日 15時06分 JST

「それでも信頼しろと? 」―フェイスブック3000万人、グーグル50万人、データ流出のインパクト

最もプライベートな空間である家庭に広がるプラットフォーム。

フェイスブックとグーグル、世界を席巻する2大プラットフォームで、大規模な個人データの流出、およびデータ流出の可能性が相次いで明らかになった。


By Anthony Quintano (CC BY 2.0)

フェイスブックでは、その影響規模はわかっているだけで3000万人にのぼる。

グーグルは50万人と2桁少ないが、春先に発覚した問題を公表しなかったことを今月、ウォールストリート・ジャーナルに暴露され、事実を認めた。

ユーザーの個人データのかたまりである、社会インフラとしてのプラットフォームサービス。

フェイクブックはメッセンジャー端末「ポータル」、グーグルもスマートホーム端末「グーグル・ホーム・ハブ」と新製品を発表し、お茶の間への浸透を伺っている。

だが、ケンブリッジ・アナリティカ問題によるフェイスブックからの8700万人分のデータ流出で、その深刻な脆弱性に、改めて幅広い懸念の声が上がってもいる。

それでも信頼し続けろというのか?――巨大サービスに対して、そんな根本的な疑問が指摘される事態になっている。

●2900万人の個人データ流出確認

フェイスブックは12日、9月末に発覚したサイバー攻撃による大規模個人データ流出が、2900万人分にのぼることが確認された、と発表した

当初、影響範囲は最大で9000万人、このうち流出の恐れが強いのは5000万人と発表していたが、実際の被害の有無や詳細については、明らかにしていなかった。

問題となっているのは、フェイスブックへのログインを可能にする「アクセストークン」と呼ばれる認証キーだ。この「アクセストークン」があることで、アクセスするたびにIDとパスワードを入力しなくてもサービスが利用できる。

だが、ユーザーのプロフィールなどの表示状態を確認する機能「プレビュー」で特定の操作をすると、ユーザー本人ではなく、その「友達」の「アクセストークン」を入手できてしまうという欠陥が判明。

この欠陥を悪用する形で、友達からその友達へ、と芋づる式に被害が広がったという。

※参照:フェイスブックが「5000万人分」サイバー攻撃にあえぐ―当局、ユーザーの厳しい視線(09/29/2018)

●居住地、電話番号などの個人データ流出

フェイスブックが発表した被害の内訳は、4つのグループに分類されている。

まず、芋づる式の流出の足がかりとされたグループが40万人。

今回のサイバー攻撃では、フェイスブックの欠陥を突く自動化プログラムが使われていたという。

これにより、友達Aの「アクセストークン」を入手したあと、友達Aのアカウントに不正ログインし、Aの友達であるBの「アクセストークン」を入手。Bのアカウントに不正ログインし、Bの友達であるCの「アクセストークン」を入手――という攻撃を、40万人分について、行っていったという。

この自動化プログラムでは、「アクセストークン」の入手と合わせて、ユーザーの「プロフィール」など幅広いデータがコピーされていた、という。

「プロフィール」には、ユーザーが登録している電話番号や居住地、生年月日、性別、宗教、職歴、学歴から交際ステータスなど、あらゆるデータが含まれる。

また、ユーザーによるタイムラインへの投稿、友達リスト、参加している「グループ」、「メッセンジャー」で連絡をとった友達の名前などもコピーされていた、という。

ユーザー間のメッセージの中身はコピーされてはいなかった、という。ただ、ユーザーが「フェイスブックページ」の管理者だった場合、この「ページ」のアカウント宛てに送信されたメッセージの中身は、コピー対象になっていたという。

この40万人のアカウントを踏み台にして、その友達リストをもとに「アクセストークン」を入手されたユーザーは、さらに3000万人にのぼる。

このうち1500万人は、加えて名前と連絡先(電話番号、電子メール、あるいはその両方)のデータが流出。

1400万人は、名前、連絡先に加えて、「プロフィール」の詳細(ユーザー名、性別、言語、交際ステータス、宗教、出身地、居住地、誕生日、端末情報、学歴、職歴)、さらに最新10件のチェックイン(訪問場所の共有)の履歴、タグ付けされた場所の履歴、フォロー中のサイト、人、ページ、そして最新15件のフェイスブックでの検索履歴も流出している。

残る100万人の被害は「アクセストークン」のみで、他のデータの流出は確認されていないという。

また、確認されているデータ流出はフェイスブック本体のみで、メッセンジャー、インスタグラム、ワッツアップ、オキュラスなど傘下のサービスからの流出は確認されていない、という。

また、ユーザーがこの3000万人に含まれるかどうかの確認や、含まれていた場合の対処法については、ヘルプページをカスタマイズし、個別に告知しているという。

●「FBIが捜査中」

東部時間12日午後1時からは、フェイスブックによる電話会見も行われている。


By Anthony Quintano (CC BY 2.0)

この中では、今回のサイバー攻撃が、フェイスブックがアクセス急増の異常に気づいた9月14日に始まり、欠陥の把握と修正が完了した27日にかけての2週間にわたって行われた、と説明。

またフェイスブックのプロダクト担当副社長、ガイ・ローゼン氏は、足がかりとなった40万アカウントのうちの、攻撃の発端となった数アカウントは攻撃者と関連があるだろう、との見立ても示している。

今回の問題では、フェイスブックのアカウントを使うことでログインできる「シングルサインオン」機能を採用している外部サービスへの被害の拡大も懸念された。

これについては、10月2日に外部サービスへの不正ログインは確認されていない、と発表しているが、この日の会見でも、改めて外部への被害拡大はない、と表明した。

ただ、米連邦捜査局(FBI)による捜査が継続中である、として地域的な被害の範囲は「極めて広域に及ぶ」と述べるにとどまっている。

メディアからは、「流出データが、スピアフィッシング(標的型攻撃)やなりすましなどに悪用されている可能性は」との質問も出た。

また、「攻撃者との関連」が疑われるアカウントまで特定できているのであれば、攻撃者そのものも特定できているのでは、との質問も。

だがいずれも、「FBIが捜査中」(ローゼン氏)と答え、詳細には触れていない。

ただスピアフィッシング、なりすましの危険については、このように回答し、否定はしなかった。

今後数日で、ユーザーと個別に共有する情報の中には、その種の疑わしいメールやテキストメッセージなどの警戒の仕方についても、盛り込んでいくつもりだ。

●「それでも信頼し続けろと」

ニュースサイト「アクシオス」の、デビッド・マッケイブ氏からは、こんな質問が出た。

今やユーザーのデータが流出したことは明らかになった。それでもデータ保護について、ユーザーに、フェイスブックを信頼し続けろというのか?

この同じ質問は、9月28日に行われた問題発覚の会見で、「リコード」のカート・ワグナー氏が行っている。

この時、CEOのマーク・ザッカーバーグ氏はこう答えるにとどまっていた。

これは深刻な問題ですし、我々はこの問題を極めて重視し、取り組んでいます。(中略)ただ、我々はまさに現在、取り組みを行っているところで、今後さらに時間をかけて注力を続ける必要があります。

マッケイブ氏の改めての質問は、被害の実態が明らかになって、前回のザッカーバーグ氏の回答に変更はあるか、というものだった。

これに対し、ローゼン氏の答えは、前回会見から踏み出すものではなかった。

我々はこのインシデント(攻撃)を非常に深刻に受け止めています。ユーザーの情報のセキュリティは何よりも重要ですし、その姿勢で今回の調査に取り組んでいます。

「スレート」のウィル・オレムス氏は、記事の中で、今回の被害が「パスワードやクレジット番号の流出より深刻だ」と指摘する。

パスワードは変えられるし、クレジットカードも新しいものに変えられる。だが、出身地や電話番号、宗教、友達、家族や検索履歴を変えるのは、そう簡単ではない。
(中略)
このようなデータは、売却されるか、ネット掲示板でさらされる可能性もある。

●50万人分のデータと「グーグル・プラス」閉鎖

フェイスブックに比べれば被害規模は2桁違うが、グーグルでもデータ流出の可能性が明らかになっていた。

ウォールストリート・ジャーナルは10月8日、同社のソーシャルメディアサービス「グーグル・プラス(+)」で、プログラムのミス(バグ)によって、2015年から2018年3月にかけて、外部の開発者からAPI経由で、ユーザーのプロフィールデータにアクセスが可能な状態になっていたと報じた。

その範囲は50万人規模にのぼるという。

しかも、問題が発覚したのが、フェイスブックがケンブリッジ・アナリティカ問題が批判の矢面に立たされていた時期でもあり、批判の矛先が向くのを避けるため、あえて公表しなかった、とも指摘した。

ジャーナルの指摘を受け、グーグルは同日、フェロー兼エンジニアリング担当副社長、ベン・スミス氏が、API経由で外部からプロフィールにアクセスできるバグがあったことを認めた。

アクセスが可能となっていたのは、名前、メールアドレス、職業、性別、年齢などのデータだった、という。

ただ、APIの履歴データは2週間分しか保存していないため、このバグによる影響を検証することは不可能、と述べている。

また、このAPIを使ったアプリは438あるが、バグに気づいた開発者の存在や、プロフィールデータが悪用されたことを示す証拠は見つかっていない、という。

スミス氏は、コンシューマーユーザーの滞在時間は、9割が5秒以下と不振が続いていることなども紹介。2019年8月末をもって、コンシューマー向けの「グーグル・プラス」は閉鎖する、と表明した。

●「家庭」を目指すプラットフォーム

フェイスブックは、ユーザーデータ流出の詳細を発表する2日前、家庭向けの初めてのスクリーン端末「ポータル」の発表を行っている。

10インチの「ポータル」と15インチの「ポータル・プラス」は、動画メッセンジャー機能に特化した据え置き型で、アマゾンの人工知能(AI)「アレクサ」を搭載。

サービスの、お茶の間への浸透を狙う。

そして、家庭向け端末では先行するグーグルも同日、スマートスピーカーとして投入してきた「グーグル・ホーム」の新製品として、7インチのタッチ画面つきの「グーグル・ホーム・ハブ」を発表している。

最もプライベートな空間である家庭に広がるプラットフォーム。

「それでも信頼し続けろというのか?」という疑問は、宙に浮かんだままだ。

--------

■新刊『信じてはいけない 民主主義を壊すフェイクニュースの正体』(朝日新書)

(2018年10月13日「新聞紙学的」より転載)