最近、Facebook は、オンライン ソーシャル ネットワークが悪意のある者によっていかに簡単に悪用されるかを示すために 4 人の研究者によって作成されたロボット軍団に侵入されました。
ブリティッシュコロンビア大学の研究者らは、102人の偽のFacebook友達の大群を使って、ソーシャルネットワーク上で公開されていないメンバーの個人情報を収集できること、また、その防御策が大規模な侵入に対処するには不十分であることを示した。
Facebook上で8週間にわたるキャンペーンを実施した結果、研究者たちは数千人のFacebookユーザーから250GBもの情報を収集しました。彼らの「ソックパペット」ボットは3000人以上のメンバーから「友達」になり、ネットワークのプロフィール数は100万件を超えました。
Facebookで悪意ある行為を開始するために、ヤザン・ボシュマフ、イルダール・ムスルホフ、コンスタンチン・ベズノソフ、マテイ・リペーヌの4人は、ソーシャルボットと呼ばれる新種のボットネットを使用しました。ソーシャルボットが他の種類のボットと異なるのは、人間を装うように設計されている点です。これにより、オンラインソーシャルネットワーク(OSN)で特権的な地位を獲得することができます。Facebookの場合、その地位は「友達」に相当します。
「ソーシャルボットが標的のOSNに侵入すると、電子メールアドレス、電話番号、その他の金銭的価値のある個人データなど、ユーザーのプライベートデータをさらに収集できるようになります」と研究者らは、来週フロリダ州オーランドで開催されるセキュリティアプリケーションカンファレンス[PDF]で発表する予定の論文で説明している。
「敵対者にとって、こうしたデータは貴重であり、オンラインプロフリングや大規模なメールスパム、フィッシングキャンペーンに利用される可能性があります」と彼らは続ける。「そのため、インターネットの闇市場では、様々な種類のソーシャルボットが1個あたり29ドルという高値で売買されているのも不思議ではありません。」
研究者たちがFacebookを標的にした理由の一つは、他のオンラインソーシャルネットワークよりも侵入が困難だと考えていたことだった。しかし、実際にはそうではなかった。例えば、Facebook上での悪意ある活動を阻止するために設計されたFacebook免疫システム(FIS)は、ソーシャルボットネットの偽のアイデンティティをわずか20個しかフラグ付けしなかった。さらに、それらのアイデンティティがフラグ付けされたのは、ユーザーからスパムだと苦情が寄せられたためだけだった。
「実際のところ、FIS がユーザーのフィードバックに頼る以外に実際に何が起こっているかを検出したという証拠は観察されませんでした。ユーザーのフィードバックは FIS にとって不可欠だが潜在的に危険な要素であると思われます」と研究者らは記している。
Facebookはメディアに発表した声明の中で、研究者らの調査結果に異議を唱え、攻撃は信頼できる大学のアドレスから発信されたものだと述べた。また、研究者らが論文で主張したよりも早く、より多くの偽アカウントを無効化できたと述べた。「ブリティッシュコロンビア大学による研究方法論には深刻な懸念を抱いており、この懸念を大学に伝える予定です」と広報担当者は述べた。
今年初め、アノニマスとして知られるハッカー集団は、防衛関連企業HBGary Federalから盗んだ電子メールに基づき、軍が偽のサイバーパーソナリティを使ってFacebookなどのソーシャルネットワークに侵入し、匿名でオンライン活動する反体制派や活動家を逮捕するための情報を収集する計画を立てていると主張した。
これらの疑惑は、後に米中央軍が、テロリストが人材を募集し資金を募っているソーシャルネットワーキングサイトに侵入するための偽のオンライン人物を作成するソフトウェアを作成するために、Ntrepidという会社に270万ドルの契約を授与したことで、信憑性が増した。
フリーランスのテクノロジーライター John P. Mello Jr. と Today@PCWorld を Twitter でフォローしてください。
