2億6700万人以上のFacebookユーザーの個人情報が公開状態だった--研究者が指摘
2019・12・20 https://japan.cnet.com/article/35147139/
2億6700万人以上のFacebookユーザーの電話番号、氏名、ユーザーIDが、誰もがアクセスできるオンラインのデータベースに公開されていた。世界最大規模のソーシャルネットワークである同社は、次々と発生するプライバシーやセキュリティの問題に悩まされ続けているが、また新たな問題に見舞われることとなった。
セキュリティ研究者のBob Diachenko氏は、この大量のFacebookユーザーデータを米国時間12月14日に発見した。このデータベース(現在は削除済み)に、パスワードなどの保護策は講じられていなかった。現在はこのデータベースにアクセスできないようになっているが、その情報は2週間近く公開されている状態だった。Diachenko氏が勤務する英国の技術調査企業Comparitechによると、このデータは、何者かによってあるハッカーフォーラムでもダウンロード可能な状態にされていたという。
Comparitechによると、Facebookデータを公開されていたユーザーはスパムやフィッシングの被害に遭う恐れがあるという。FacebookのユーザーIDには、その人物のFacebookユーザー名などのプロフィール情報を割り出すために使用できる一意の番号が含まれている。
Diachenko氏は、ベトナムにいる犯罪者らがユーザーデータを取得した方法は、2つ考えられるとしている。まず、FacebookのAPI(アプリケーションプログラミングインターフェース)を悪用した可能性がある。APIは、友達リスト、写真、グループなどのデータにアクセスするための手段として開発者に提供されている。悪用されたのは、Facebookがユーザーの電話番号へのアクセスを制限した2018年よりも前か、セキュリティ脆弱性が存在したのであればその後だったかもしれない。2つ目として、公開されているFacebookプロフィールから情報を自動的に取得するスクレイピング技術を利用した可能性がある。
Diachenko氏は電子メールで、データベースにリンクされていたウェルカムページとダッシュボードに、ログインとパスワードを求めるベトナム語の文言が含まれていたと述べた。「このデータを公開することにこれといった理由がない」ので、データベースは誤って公開されていたと思われると、同氏は述べた。
Facebookの広報担当者によると、同社はこの問題について調査中だという。またデータが収集されたのは、電話番号へのアクセス制限など、ユーザー情報の保護を強化する変更を加える前だった可能性が高いとみている。
2億6700万人以上のFacebookユーザーの電話番号や名前がオンラインで流出、詐欺に使用される危険性も
2019・12・20 https://gigazine.net/news/20191220-facebook-users-data-exposed-online/
IT関連のレビューや調査を行うComparitechがセキュリティ研究者のBob Diachenko氏と協力して、2億6700万人以上のFacebookユーザーの電話番号や名前が、誰でもアクセス可能なオンライン上のデータベースで公開されていることを発見しました。記事作成時点ではすでにデータベースは削除されていますが、データはハッカーフォーラムにも流出しており、ComparitechはデータがSMSスパムやフィッシング詐欺に使われる危険性があると警鐘を鳴らしています。
Report: 267 Million Phone Numbers & Facebook User IDs Exposed Online
https://www.comparitech.com/blog/information-security/267-million-phone-numbers-exposed-online/
Millions of Facebook user phone numbers exposed online, security researchers say - CNET
https://www.cnet.com/news/millions-of-facebook-user-phone-numbers-exposed-online-security-researchers-say/
ComparitechとDiachenko氏はオンライン上のセキュリティで保護されていないデータベースを探し、データ流出などの問題を報告する活動を行っています。2019年12月14日、Diachenko氏は大量のFacebookユーザーデータが、Elasticsearchデータベースとしてオンライン上で公開されていたことを発見しました。
今回発見されたデータベースには、合計で2億6714万436件のFacebookユーザーデータが保管されていたそうで、影響を受けたユーザーのほとんどはアメリカ在住の人物でした。また、それぞれの記録にはFacebookのアカウントID、電話番号、フルネームが含まれていたとのこと。Diachenko氏は今回のデータ流出は偶然によるものではなく、悪意のある人物が意図的に流出させた可能性が高いとみています。
Diachenko氏によると、データベースが公開されてから最終的に削除されるまではおよそ2週間ほどであり、以下のようなタイムラインでデータ流出からデータベース削除までが進行したとのこと。
・2019年12月4日:データベースが最初にインデックス化される。
・2019年12月12日:データがダウンロード可能な状態でハッカーフォーラムに投稿される。
・2019年12月14日:Diachenko氏がデータベースを発見し、サーバーのIPアドレスを管理するISPへ悪用レポートを即座に送信する。
・2019年12月19日:データベースが削除される。
通常、オンライン上でデータベースが公開されて個人情報が流出しているのを発見した場合は、まずデータベースの所有者に通知する手順を踏むのが一般的です。しかしDiachenko氏は今回のデータ流出が明らかに悪意を持った犯罪組織によるものだと考えたため、直接ISPへ連絡したと説明しています。
犯人がFacebookのアカウントIDおよび電話番号などを取得した方法は明らかではありませんが、2018年にFacebookが開発者向けFacebook APIから電話番号へのアクセスを制限する前に、サードパーティの開発者を装ってFacebook API経由で盗み出した可能性があります。また、Diachenko氏によるとFacebook APIから電話番号へのアクセスが制限された後も、犯罪者がより詳細な情報にアクセス可能なセキュリティホールが存在するかもしれないと指摘。
別の可能性として考えられるのは、Facebook上で公開されているプロフィールページから、ウェブスクレイピングを利用してデータが収集されたというもの。自動化されたbotがウェブページからデータをコピーするスクレイピングは、Facebookを含むほとんどのSNSの利用規約に違反しているものの、実際にスクレイピングを防ぐのは難しいとのこと。多くの人はFacebookのプロフィールを公開設定にしていますが、スクレイピングによる被害を抑えたい場合は、プロフィールの公開範囲を制限するなどの対策が必要です。
今回流出したデータベースに保存されていた電話番号や名前といった情報は、SMSを介したスパムやフィッシング詐欺などに使用される可能性があるとのことで、Facebookユーザーは疑わしいテキストメッセージに注意を払う必要があるとComparitechは警鐘を鳴らしています。送信者が名前を含む個人的な情報を知っていたとしても、流出した情報を基にさらに多くの個人情報を集めることが可能なため、安易に信頼するのは危険です。
なお、データベースにリンクされたウェルカムページとログインダッシュボードにベトナム語が含まれていたことから、今回の流出にかかわった犯人がベトナム人である可能性が高いとDiachenko氏は指摘しています。
