セキュリティコンサルタントのロン・ボウズ氏が公開情報から1億7100万件のFacebookアカウントの名前とプロフィールURLを収集したことで、Facebookをめぐるセキュリティ上の懸念が再び高まっています。同コンサルタントはその後、そのデータをトレントファイルとしてアップロードし、コンピュータに接続できる人なら誰でもダウンロードできるようにしました。
BBCによると、英国のプライバシー監視団体プライバシー・インターナショナルの代表サイモン・デイビス氏は、データマイニング技術に関してFacebookの過失を非難した。しかしFacebookは、ボウズ氏が収集した情報はすべて既に公開されているため、ボウズ氏の行動によって新たな情報が明らかになったわけではないとBBCに述べた。
では、セキュリティリスクとは何でしょうか? 心配すべきでしょうか? 詳しく見ていきましょう。
どのようなデータが収集されましたか?
Skull Securityのセキュリティコンサルタント兼ブロガーであるロン・ボウズ氏は、コンピュータスクリプトを使ってFacebookの公開プロフィールディレクトリに掲載されているFacebookプロフィールをスキャンしました。このスクリプトを使って、ボウズ氏は公開検索可能なすべてのFacebookプロフィールの名前とプロフィールURLを収集しました。ボウズ氏によると、合計1億7100万人分のFacebookユーザーの名前とウェブアドレスを収集できたとのことです。これはFacebookユーザー5億人の3分の1強に相当します。(上の画像をクリックすると拡大表示されます)
彼はそのデータを使って何をしましたか?
Bowes 氏はこのテキスト リストをファイルにまとめ、ダウンロード可能なトレントとしてオンラインで利用できるようにしました。
トレントをダウンロードした人は何人いますか?
パイレート・ベイは、本稿執筆時点でこのトレントファイルのシード数を2923人とリーチャー数を9473人とリストしています。シードとは、ファイル全体をダウンロードし、他の人にアップロードしているユーザーのことです。リーチャーとは、ファイルを積極的にダウンロードしているユーザーのことです。
これは大したことでしょうか?
それは誰に聞くかによります。Facebookは、ボウズ氏が収集したデータの一部は、GoogleやBingなどの検索エンジンで既に利用可能だったと指摘しています。データセット全体は、Facebookにログインしているすべてのユーザーが閲覧可能です。つまり、データはすでに公開されており、誰のプライベートなFacebookデータも漏洩していません。とはいえ、1億7100万件のFacebookプロフィール名が1つのファイルにまとめられ、誰でも簡単に分析・検索できるようになったのは今回が初めてです。
悪意のあるハッカーはデータを何に使用できるでしょうか?
ボウズ氏がブログ記事で指摘したように、このデータを出発点として、Facebook上で公開されている他のユーザーデータを見つけることができる可能性があります。結局のところ、1億7100万人のFacebookユーザーのうち、メールアドレス、電話番号、その他の情報をプロフィールに公開している人はどれくらいいるのでしょうか?
悪意のある人物があなたについて知っている情報が多ければ多いほど、セキュリティリスクは増大することが繰り返し証明されています。個人データを収集したフランス人ハッカーは、Twitterの企業機密文書を盗むことに成功しました。NetflixがNetflix Prize 2で年齢、性別、郵便番号を含む匿名のユーザーデータを公開しようとした際、研究者たちは懸念を抱きました。セキュリティ研究者たちは、年齢と郵便番号が分かれば個人の身元を絞り込むことができるため、Netflixによるデータ公開は無責任だと述べました。このコンテストは最終的に中止されました。カーネギーメロン大学の研究では、社会保障番号システムに欠陥が見つかり、高度なハッカーがデータマイニング技術を用いれば、1分間に最大47件の社会保障番号を割り出すことができる可能性があることが明らかになりました。
自分の名前がデータダンプに含まれていたかどうかはどうすればわかりますか?
Facebookプロフィールダッシュボードの右上にある「アカウント」をクリックします。「プライバシー設定」を選択し、次のページの「基本ディレクトリ情報」の下にある「設定を表示」をクリックします。上の画像のようなページが表示されます。最初のリストにある「Facebookで私を検索」が「全員」に設定されている場合、あなたの名前とプロフィールURLがTorrentファイルに含まれている可能性があります。(画像をクリックすると拡大します)
GoogleやBingなどの外部検索エンジンがあなたのプロフィールをインデックスしているかどうかも確認しましょう。確認するには、メインのプライバシー設定ページに戻り、画面下部にある「公開検索」の横にある「設定を編集」ボタンをクリックします。次のページで「公開検索を有効にする」チェックボックスにチェックが入っている場合は、検索エンジンがあなたのプロフィールをインデックスしています。インデックスを停止するには、チェックボックスのチェックを外し、「アプリケーションに戻る」をクリックしてください。
私の名前が公開ディレクトリに載っていませんが、心配すべきでしょうか?
Bowes氏によると、公開ディレクトリに登録されていない場合、あなたの名前はTorrentファイルに含まれません。しかし、将来的には同様のデータマイニング技術の標的になる可能性はあります。Bowes氏によると、Facebookのつながりで友達リストを公開している人がいれば、友達のプロフィールをデータマイニングすることで、あなたのプロフィールが簡単に見つけられる可能性があるとのことです。
自分の情報を非公開に保つために何ができますか?
最大の懸念は、名前やプロフィールURLが公開されることではありません。少なくともあなたにとって、より大きな懸念は、プロフィールページに含まれる公開情報です。
ご自身を守るために、現在のプライバシー設定を見直すことをお勧めします。設定を見直すには、上記の手順に従うか、こちらをクリックして、Facebookプロフィールの基本ディレクトリ情報ページにアクセスしてください。
ページの右上に「プロフィールをプレビュー」というボタンがあります。このボタンをクリックすると、Facebookで公開しているすべての情報が表示されます。非表示にしたいデータとしては、出身地、生年月日、年齢、電話番号、現在居住している都市、メールアドレスなどが挙げられます。
さて、あなたはどう思いますか?ボウズ氏のデータ流出によって、Facebookプロフィールの設定を見直す必要があるでしょうか?それとも、心配していないのでしょうか?
Twitter (@ianpaul) で Ian とつながりましょう。
