フェイスブックが「5000万人分」サイバー攻撃にあえぐ―当局、ユーザーの厳しい視線

被害はフェイスブックだけにとどまらず、ユーザーがフェイスブックのアカウントを使ってログインしていた外部サービスにも波及している可能性がある。

フェイスブックが28日に明らかにした大規模サイバー攻撃は、合わせて9000万人に影響し、その被害はより甚大なものである可能性が出ている。

20億人を超すフェイスブックユーザーのうち、5000万人の個人データが流出した恐れがあり、別の4000万人にも被害が広がっているかも知れない――。

ニューヨーク・タイムズによれば、この被害者の中には、CEOのマーク・ザッカーバーグ氏、COOのシェリル・サンドバーグ氏も含まれるという。

被害はフェイスブックだけにとどまらず、ユーザーがフェイスブックのアカウントを使ってログインしていた外部サービスにも波及している可能性がある。

米大統領選における「ロシア疑惑」でフェイクニュース拡散などの舞台とされた問題や、ケンブリッジ・アナリティカをめぐる8700万人分のユーザーデータ不正利用問題など、フェイスブックはこの間、サービスの信頼性やセキュリティ、ユーザーのプライバシー保護をめぐって、批判の矢面に立たされてきた。

そしてマーク・ザッカーバーグCEOを先頭に、議会やメディアに対して、セキュリティ対策などへの注力、信頼回復への取り組みをアピールし続けてきた。

そのタイミングでの今回の大規模サイバー攻撃だ。

政府当局や議会関係者からは、早速、説明を求める声が上がり、ユーザーからは集団訴訟も起こされた。

今回のサイバー攻撃の一方で、同社のプライバシー保護への疑問も強まっている。

騒動公表の数日前、ユーザーがセキュリティ強化策である「2段階認証」で登録した電話番号を、フェイスブックが広告配信に利用していた実態が指摘されていたのだ。

フェイスブックをめぐる様々な激震は、しばらく続きそうだ。

●サイバー攻撃はこうして発覚した

フェイスブックが今回のサイバー攻撃を公表したのは、西海岸時間で9月28日金曜日の朝9時41分

午前10時からはザッカーバーグ氏も出席した記者会見を開催。さらに同日午後2時にも改めて説明のための記者会見を開いている。

会見の説明によると、最初に異常を覚知したのはその2週間前の9月16日日曜日。ユーザーのトラフィックの急増が見られたのが端緒だった、という。

そこから調査を開始し、9日後の25日火曜日夕の段階で、これがサイバー攻撃によるものであることが判明。さらに標的となったセキュリティ上の欠陥も特定する。

翌26日水曜日には連邦捜査局(FBI)に通報。発表前日の27日木曜日夕までに、被害ユーザーへの保護措置を取った、という。

またこの間に、欧州連合の「一般データ保護規則(GDPR)」に基づき、欧州の拠点であるアイルランドのデータ保護委員会への事案報告も行っている、という。

●何が起きたのか

フェイスブックの発表と28日の2回会見から、サイバー攻撃の概要が見えてくる。

最大の問題は、フェイスブックへのログインを、IDとパスワードなしでも可能にする「アクセストークン」と呼ばれる認証キーを、第三者が入手可能な状態だった、という点だ。

通常、フェイスブックへのログインは、最初はIDとパスワードを入力するが、2回目以降はそれらの入力なしでもログインできる。これはいったんログインできたユーザーに、通行証のような「アクセストークン」が振り出され、2回目以降はこれによって自動ログインを可能にしているためだ。

ところが、この「アクセストークン」が、ユーザー本人ではなく、他人に振り出されていた、というのだ。

これは、複数のシステム上の機能がつながって発生していたという。

一つはフェイスブックのプロフィール、タイムラインが外部ユーザーからどう見えるかをチェックする「プレビュー」機能だ。

フェイスブックでは、プロフィール情報や投稿の閲覧を、一般公開のほか、特定の友達だけに制限することもできる。その閲覧制限が、意図した通りにできているかどうかを確認するための機能が「プレビュー」だ。

「プレビュー」では、特定のユーザーを検索して指定し、そのユーザーからどう見えるか、を確認することもできる。ある友達には見せたくないが、他の友達には知らせたい、といった細かい共有範囲の管理に使える。

もう一つ問題となったのが、2017年7月にフェイスブックが導入した動画投稿の新機能だ。

この二つの機能が絡み、三つの不具合を発生させていたという。

第1は、「プレビュー」は見栄えのチェックだけの機能のはずなのに、友達の誕生日のお祝い投稿に対しては、連動して動画の投稿機能が立ち上がってしまう欠陥があった、という。

さらに第2として、立ち上がった動画投稿機能は、なぜかフェイスブックのモバイルアプリへのログインを許可する「アクセストークン」を振り出していた。

そして第3の不具合は、これによってユーザー本人ではなく、他のユーザーの「アクセストークン」が入手可能になっていた、という点。

「プレビュー」で特定のユーザーを検索し、そのユーザーからの見栄えをチェックしていた場合、第1、第2の不具合で立ち上がった動画投稿機能は、その検索されたユーザーのアカウントにログインできる「アクセストークン」を振り出していた、というのだ。

この欠陥を突き、芋づる式に「アクセストークン」を集めて不正ログインを繰り返し、プライバシーデータなどを取得していた可能性がある――それが5000万人にのぼる、直接の被害者の概要だという。

加えて、影響があったかも知れない4000万人とは、不正なログインは確認できなかったものの、動画の新機能が導入された2017年7月以降、「プレビュー」で検索対象となったアカウントの総計だという。

●被害はどこまで

いずれの不具合も27日までに修正が完了したという。

また、被害のあった「アクセストークン」は無効にされ、該当のユーザーはいったんフェイスブックからログアウトさせる処理が行われたという。改めてIDとパスワードを使えば、またフェイスブックのログインできるようだ。

また、フェイスブックの「設定」の中には「セキュリティとログイン」の項目があり、どの端末でどこから、どのブラウザやアプリをつかって、いつアクセスしたかという履歴を確認することができる。

ただ、不正ログインの手法によっては、ここに履歴を残さないケースもある、とフェイスブックの製品担当副社長、ガイ・ローゼン氏は会見で述べている。

このサイバー攻撃によって、被害はどこまで広がっているのか。

「アクセストークン」を使って不正ログインした攻撃者は、本来のユーザーと同じ操作ができる。

ニューヨーク・タイムズによれば、今回のサイバー攻撃の被害者の1人でもあるザッカーバーグ氏は、午前10時からの会見の冒頭でこう述べるにとどめている。

調査はまだ極めて初期段階だ。これらのアカウントが実際に悪用されたかどうかは、まだわかっていない。現時点までの当初の調査では、これらのトークンを使用して、プライベートなメッセージや投稿にアクセスしたり、それらのアカウントによる投稿をおこなったり、といった事例は確認されていない。

さらにこう続けている。

攻撃者たちは、我々のAPIに、名前、性別、出身地などといったプロフィール情報フィールドへのアクセス要求を試みていたが、それによってプライバシー情報に何らかのアクセスが行われたかどうかは、まだわかっていない。

そして、被害の詳細には一切触れていない。また、被害者の地域的な広がりについても、公表していない。

「調査はまだ初期段階のため」――午前と午後の2回の記者会見で、ザッカーバーグ氏らフェイスブック関係者は、合わせて17回にわたり、この表現を繰り返すにとどまった。

ただ、被害の範囲は、フェイスブックにはとどまらない可能性があることは、認めている。

副社長のローゼン氏は、こう述べている。

脆弱性はフェイスブック上のものだ。だが、これらの「アクセストークン」を使うことで、本来のアカウント所有者の権限で、そのアカウントを利用することができる。つまり攻撃者は、フェイスブックのアカウントによるログインを採用している、他のサードパーティーのアプリにもアクセスできた可能性がある、ということだ。

フェイスブック傘下のインスタグラムに限らず、フェイスブックのアカウントを使ってログインできるサービスは幅広くある。

「アクセストークン」を手にした攻撃者は、フェイスブックだけでなく、これらすべての外部サービスに不正ログインしていた可能性はある、と説明しているのだ。

●批判の矢面に立つ中で

今回の大規模サイバー攻撃は、フェイスブックが「ロシア疑惑」やケンブリッジ・アナリティカ問題で批判の矢面に立ち、その対策への取り組みをアピールするさなかに起きた。

7月末には、業績の陰りに、株価が暴落するという事態も招いている。

それだけに、今回のサイバー攻撃に関しては、フェイスブックのセキュリティ対策とユーザーデータ保護をめぐって、議会や政府当局、ユーザーからの視線は厳しい。

すでにフェイスブックによる発表があった28日には、カリフォルニアとバージアの2人のユーザーによる集団訴訟が、カリフォルニア北部連邦地裁に申し立てられている

また連邦議会でも、フェイスブック批判の急先鋒と言われる上院議員、マーク・ワーナー氏が早速、声を上げている。

This is another sobering indicator that Congress needs to step up and take action to protect the privacy and security of social media users. As I've said before – the era of the Wild West in social media is over. https://t.co/UFBZLMkFgi

— Mark Warner (@MarkWarner) September 28, 2018

この事件は、議会がさらに力を入れてソーシャルメディアのユーザーのプライバシーとセキュリティ保護の対策を取る必要があるということを、まざまざと示している。以前にも述べたように、ソーシャルメディアの西部開拓時代は終わったのだ。

さらに、ニューヨーク州司法長官のバーバラ・アンダーウッド氏も、こうツイートしている。

We're looking into Facebook's massive data breach. New Yorkers deserve to know that their information will be protected.

— NY AG Underwood (@NewYorkStateAG) September 28, 2018

フェイスブックの大量データ漏洩を、我々は注視している。ニューヨーカーは、自らの情報がこれからも保護される、ということを知らされる権利がある。

連邦取引委員会(FTC)コミッショナーのロヒット・チョプラ氏も、簡潔ながら「回答が待たれる」とツイートでコメント。

欧州のフェイスブックを管轄するアイルランドのデータ保護委員会も、公式アカウントでこうツイートしている。

Facebook data breach. The DPC is concerned that this breach was discovered on Tuesday & affects millions of users. At present Facebook is unable to clarify the nature of the breach & risk to users. We are pressing Facebook to urgently clarify these matters. #dataprotection

— Data Protection Commission Ireland (@DPCIreland) September 28, 2018

フェイスブックのデータ漏洩。データ保護委員会はこの漏洩が火曜日に発覚したこと、そして数百万ものユーザーに影響するという点に関心を持っている。現時点では、フェイスブックは漏洩の態様、ユーザーのリスクについて明確な説明ができていない。我々はフェイスブックに対し、これらの点について早急に解明するよう要求している。#データ保護

●「サイバー攻撃」のニュースがスパム扱いに

この騒動には、笑えないオチもついている。

今回のサイバー攻撃を報じたガーディアンとAPの記事を、ユーザーがフェイスブックで共有しようとしたところ、このような警告が出たという。

投稿はブロックされました:セキュリティシステムが、多数のユーザーが同じコンテンツを投稿していることを検知しました。そのコンテンツがスパムである可能性があります。別の投稿をお試しください。

フェイスブックが誤って記事を「スパム」と認定し、ブロックしていたのだ。

Facebook won't let you share the Guardian's article about Facebook's massive security breach on the basis too many people are sharing it which means it's probably spam. (Read it here: https://t.co/Jp5osjzWWc) pic.twitter.com/8S57owoc16

— Jim Waterson (@jimwaterson) September 28, 2018

Oh yes so it is - Facebook is blocking the link to the @AP story about its hack as potential spam h/t @katecongerpic.twitter.com/LOONu4z4Ph

— emily bell (@emilybell) September 28, 2018

●2段階認証の電話番号を広告配信に利用

フェイスブックをめぐる問題は多岐にわたる。

ギズモードは、サイバー攻撃の発表2日前の26日、ノースウェスタン大学などの研究をもとに、フェイスブックが、セキュリティ対策である「2段階認証」のために提供された電話番号などのデータを、ターゲティング広告配信に流用していた、との実態を報じている。

それによると、ユーザーがプロフィール情報として電話番号を登録していなくても、不正なログインを防止する通知機能「2段階認証」で登録した電話番号や、友達がアップロードしたアドレス帳に自分の電話番号が含まれていた場合、フェイスブックはそれらを広告配信目的に利用していた。

研究チームは実験で、広告主として該当する電話番号などを含む顧客リストをアップロードすると、ターゲティング広告の配信を行うことが確認できた、という。

ギズモードに対して、フェイスブックの広報担当者は、広告への利用を認めている。

我々はユーザーから提供された情報を、体験のパーソナライズのために利用します。これにはより適切な広告の表示も含まれます。

同じ趣旨のことは、フェイスブックの「データに関するポリシー」の中にも表記されてはいる。

ただ、2段階認証や他人のアドレス帳の電話番号が広告配信に使われるということを、ユーザーの立場から好意的に受け入れるのは難しそうだ。

●問い続ける疑問

フェイスブックはどうなっているのか――。

セキュリティやプライバシーなどの相次ぐ問題を受けて、ユーザー、議会、政府が問い続ける疑問だ。

そして、納得のいく回答が出る前に、また新たな問題が発覚する。

フェイスブックはすでに、至る所でコントロールがきかなくなっているのかもしれない。

--------

■デジタルメディア・リテラシーをまとめたダン・ギルモア著の『あなたがメディア ソーシャル新時代の情報術』(拙訳)全文公開中

(2018年9月29日「新聞紙学的」より転載)

注目記事