セキュリティ企業Sophosは、Facebookはサードパーティ開発者プログラムを全面的に見直し、すべてのアプリに承認プロセスを義務付けるべきだと述べている。この提案は、Sophosが水曜日に発表した2011年セキュリティ脅威年次レポートの一部である。レポートでは2010年の脅威を検証し、来年に向けてセキュリティ対策を講じる方法についてアドバイスを提供している。Sophosによると、2010年には毎日9万5000件のマルウェアを分析したという。これは同社が2009年に追跡した件数のほぼ2倍に相当する。
私たちのセキュリティは大丈夫です、ありがとうございます
ソフォスが報告書を発表するやいなや、Facebookは反撃し、自社のセキュリティ対策はソフォスが示唆するよりも既に効果的だと主張した。Facebookは声明で、「当社には、リスクベースのアプローチを用いて、すべてのサードパーティ製アプリケーションを徹底的にレビューする専任チームがあります。これにより、アプリの初回リリース時に表面的なレビューを行うのではなく、最大のリスクへの対応にチームが集中できるようになります」と述べた。
問題となっているのは、Facebook上で利用できる数多くのオンラインゲーム、クイズ、カレンダー、オンライン生産性向上ツールです。これらのアプリケーションの中には、昨年4月に悪質な広告に感染したFarm Townのように、過去に悪質な動作を示すことが明らかになっているものもあります。
ザッカーバーグ氏:「壁を建てろ」
ソフォスは、Facebookの5億人を超えるユーザーはオンライン攻撃の主要な標的であり、Facebookはユーザー保護に十分な対策を講じていないと述べた。「ユーザーは誰でもアプリケーションを作成でき、ユーザーページに保存されているデータに幅広い権限でアクセスすることができます」とソフォスは述べ、悪意のある人物が比較的容易にFacebook上で詐欺行為を仕掛けられることを示唆している。「この深刻な問題に対処するには、『ウォールドガーデン』アプローチの方が適しているかもしれません」
Sophos は、すべてのアプリがセキュリティと品質の懸念について審査される必要がある、いわゆるウォールド ガーデンの例として、iOS (および Mac) デバイス向けの Apple の App Store を挙げています。
ソフォスは、少なくともFacebookはユーザーが「自分のページを保護」し、審査済みのアプリケーションのみを実行できるようにすべきだと考えている。承認プロセスがない中で、ソフォスが「審査済みのアプリケーション」とは何を意味するのかは不明だ。
Facebookは、不正アプリへの対策を効果的に実施しており、ユーザーの安全はかつてないほど確保されていると主張している。「当社の取り組みの結果、(Facebookへの)スパム、マルウェア、その他の攻撃の威力は減少しました」とFacebookは述べている。Facebookは、ソーシャルネットワークへの悪意のある攻撃がどの程度減少したかを示す統計データを提供していない。
App Storeの審査
承認プロセスはマルウェアの減少に役立つかもしれませんが、必ずしもすべての脅威を捕捉できるわけではありません。例えば7月には、ベトナムに拠点を置く開発者が、何も知らないiPhoneユーザーのアカウントから多額の料金を請求する事件が発生しました。8月には、iTunesアカウントがハッキングされ、1年以上にわたって過剰請求されていたという報告がありました。
欠点はあるものの、承認プロセスはFacebookにとってオンライン詐欺対策として効果的な手段となり得る。Facebookは開発者に対し、自宅住所や携帯電話番号といったより機密性の高いFacebookプロフィールデータをリクエストする権限を与える予定であるため、これは特に重要だ。Facebookはこの新しい開発者向け機能を金曜日にリリースしたが、激しい批判を受け、月曜日遅くに決定を撤回せざるを得なかった。Facebookはこの機能を再導入する予定だ。
最新のテクノロジー ニュースと分析については、Twitter でIan Paul (@ianpaul) およびToday@PCWorldをフォローしてください。
