2021年4月、Facebookが5億人もの個人情報を流出させたと衝撃の発表があり、LinkedIn、Clubhouseも同じ問題で指摘を受け、個人の公開情報の危険性が再認識させられました。
SNSなどのネットサービスやアプリからはしばしば流出事故が起き、事件性はなくとも各サービスは多くの個人情報を外部に提供しています。ユーザーは個人を特定されてドキシングの被害にあわないためには、自分自身で守るしかありません。
Facebook個人情報模流出事件の原因や背景、SNSの個人情報の外部提供の現実と、対策をていねいにご説明します。
2021年4月のFacebook個人情報大規模流出事件について
Facebook個人情報大規模流出流出事件の概要
2021年4月3日、サイバー犯罪に手を染めるハッカーたちが集まるネット上の闇フォーラムにFacebookユーザーの電話番号などの個人情報が大量に公開されている事実が明らかになりました。
今まで明らかになった漏えい内容の概要は以下の通りです。
- 5億3331万3128人のFacebookユーザーの個人情報が2020年6月頃より公開されていた。
- 流失したデータは、携帯電話番号、Facebook ID、名前、性別、生年月日、電子メールアドレス、居住地、交際ステータス、職業。
- Facebook ID、名前、性別、携帯電話番号はほぼ全てのデータに含まれている。
- データは当初は販売されていたが、無料で公開されるようになった。
- 日本から流出したデータと思われるのは42万8625件。
電話番号の公開範囲を「自分だけ」にしていた人は流出はなさそうですし、国内の推定会員数2600万に比べると、流出件数はわずかとも言えます。
しかし、電話番号と氏名にその他の情報もセットで流出した影響は相当深刻(後述)です。
LinkedIn、Clubhouseからも同様に大量のユーザーデータ流出が発生?
2021年4月6日、ビジネス界に特化したSNSであるLinkedInからも、会員のぼ全部に当たる5億件のユーザーデータが販売されているとの報道がありました。
データには「ID、氏名、メールアドレス、電話番号、肩書」などが含まれているとのことです。
また今年になって急激にユーザーを集めているClubhouseからの「130万件ものデータも公開された」との報道がありました。
それが事実なら、Clubhouseは実名性のため、氏名を公開していなかった他のサービスのユーザーが、Clubhouse経由で実名が知られてしまう危険も想定できます。
しかし、LinkedInは「公開されているデータはLinkedInのものではなく、偽造されたFakeだ」とし、ClubhouseもFacebookと同じく「ハッキングではなく、WEBスクレイプして大量の個人情報データを取得された、すべては公開されている情報ばかりだ」と反論しました。
センセーショナルな効果を狙ったフェイクニュース気味の報道だったように思われますが、背景の問題は同じです。
Facebook側の不誠実な説明
Facebookからは2021年4月7日に以下のように公式な説明がありました
The Facts on News Reports About Facebook Data
(Facebookデータに関するニュースレポートの事実)
概要は、
- 犯人は、Facebookシステムに侵入したのではなく、「ユーザーの連絡先リストから、接続する友達を簡単に見つけるため」の「連絡先インポーター」機能を悪用して(WEBスクレイプ)大量の個人情報データを取得した。
- 2019年9月以前に悪用に気がつき、今では悪用できないように改修されている。
- FacebookはWEBスクレイプを規約で禁止しているし、悪意のある行動を発見した時は阻止する。
- ユーザーは自分のアカウントの「人々があなたを見つけて連絡する方法」を見直したり、二段階認証を有効にするなどチェックをして欲しい。
以上の事から、Facebookは「漏えい事件」としては認めていないようで、謝罪もしていません。
「公開情報を勝手に集めるのは集める方が悪い」と開き直り沈静化を狙っているようです。
WEBスクレイプとはネット上の情報をかき集めることです。
人手でもFacebookに公開されている情報をコピペして集めることはできますが、プログラムにより、膨大な公開情報を一気に集めて、分類整理してしまうことをWEBスクレイプといいます。
しかしWEBスクレイプ手法も、「短時間に同じ接続元からのアクセスを禁止する」などのいろいろな防止方法はあります。
今回の事件でも、なにより「2019年9月の改修を境に流出が止まっていることからして、Facebook側に何らかの落ち度があったためにWEBスクレイブを許したことは明らかで、Facebookの説明は納得できるものではありません。
「SNSからの情報流出」で発生する被害
限定された公開情報も収集されると危険
Facebook、LinkedInとClubhouseのケースでは、「サービス上公開されていて当たり前の情報が勝手に集められた」と釈明されています。
確かに被害に直結するクレジットカード情報やパスワードなどの重要情報ではありません。
しかし、個々のサービスが公開している、メールアドレスや電話番号などの情報でも、複数のSNSから公開情報を集められてまとめられると、かなり多くの情報がそろってしまいます。
また、他で公開されている情報と突き合わせられて、個人の特定までつながる危険は大いに残ります。
あなたのSNSを読むと、「どこの小学校を卒業したか?」「好きな食べ物は何か?」「どんな車に乗っているか_?」などの情報が容易に得られますが、これらはパスワードを忘れたときの「秘密の質問」ににしばしばつかわれています。
犯罪者は、これらの情報を集めて、あなたの個人情報の核心に迫っていきますが、これをモザイクアプローチと言います。
ネットストーカーの被害が増えていますが、背後にはネット上の情報を集めてパズルのように組み合わせるモザイクアプローチによって個人情報を割り出す「SNS特定屋(特定班/特定厨)」の存在があります。SNSに一枚の写真を投稿するだけでどれだけの[…]
WEBスクレイプにより収集された個人情報は、様々な公開されている情報と照合されて、次のようなサイバー犯罪に使われてしまいます。
リスク1.アドレスや電話番号がフィッシング詐欺に悪用される
フィッシング(phishing)とは、ユーザーをだまして、価値のある情報を盗み取るサイバー犯罪です。
だます手口としては、偽のメールや偽SMS、偽造サイト、偽のサポート窓口電話などがありますが、犯人が初めてユーザーにコンタクトを試みる際には、ある程度ユーザーの情報を把握していた方がはるかに成功率が高まります。
宛名もないメールは疑うユーザーも、メールアドレスと正しい名前が書かれたメールやSMSの方が、ユーザーは信じてしまいやすいのです。
WEBスクレイプで集められた情報は加工されて、フィッシング詐欺に悪用されるでしょう。
SMS(ショートメッセージ)を悪用する「スミッシング詐欺=SMSフィッシング詐欺」の被害が再び広がっています。ドコモ、日本郵便、Amazon、楽天の宅配の不在通知から、銀行の通知をよそおうものまで、フィッシングメール以上に被害が広がって[…]
リスク2.メールアドレスが不正アクセスに使用される
WEBサービスや決済サービスで不正ログインの被害が報道されますが、ほとんどの原因は「パスワードリスト攻撃」または「クレデンシャルスタッフィング(Credential Stuffing)攻撃」と呼ばれる総当たり攻撃により不正ログインされたものです。
攻撃は、もちろん人手でやるのではなく、BOTと呼ばれる「処理を指定すると自動的に繰り返して行うブログラムを使うこと」が普通です。
BOTとはそれほど難しいものではなく、少々のコンピュータースキルがあれば誰でもできてしまいます。
BOTにとってはリストが何万件あっても平気で、IDとパスワードの組み合わせを、一秒間に数百~数万回という頻度で、数万~数億回という回数で総当たりで試して「当たりのIDとパスワード」を見つけてしまうのです。
各サービスのIDはメールアドレスが使われことが多いため、使われているメールアドレスが特定できれば、総当たりで次々と流出しているパスワードリストを当てはめてログインを繰り返します。
運悪くあなたがたまたま使い回したパスワードが当たってしまえば、やすやすと不正ログインを許すことになってしまいます。
「とても覚えられない!」と誰もがやってしまう「同じパスワードの使い回し」。「パスワードの使い回し」は、事件事故と被害に直結する最悪の行為ですが最新の調査では「パスワードを使い回している人の割合は8割」という衝撃的な結果も出ました。ど[…]
リスク3.電話番号がボイスフィッシングに使われる
ボイスフィッシング(Voice phishing)と呼ばれる、詐欺メール(フィッシング=phishing)や詐欺SMS(スミッシング=Smishing)と音声の電話を組み合わせたネット詐欺が急速に拡大しています。
電話の音声(ボイス=voice)の「V」と詐欺メール(フィッシング=phishing)を組み合わせて、ビッシング(=Vishing)と呼ばれることもあります。
息子に化けてお年寄りをだます「オレオレ詐欺(特殊詐欺)」が「ネットの上の偽サイトや偽企業、不正なアプリ」などのサイバー犯罪と結びついた新たな詐欺手口で、「電話の声で説明されると信じてしまう」人の弱みを悪用する手口です。
自動音声のメッセージが流れ、「不正なアクセスがあった」「不正に口座から引き落としが発生した」などと伝えられ、「被害を防止するために」「本人確認のため」などと称してパスワードなどのアカウント情報を盗まれてしまいます。
WEBスクレイプで集められた電話番号が犯罪グループに不正に使われる危険は高いでしょう。
心当たりのない領収書や請求書メールが届いたので思わず電話をしようとしたことありませんか?それは電話させることを狙った詐欺の可能性があります!公的機関や銀行になりすまし、電話や音声通話とフィッシングを巧みに組み合わせた新たなサイバー詐欺「[…]
リスク4.ドキシングによって、プライバシー侵害の被害を受ける
近年ドキシング(個人の情報を本人同意なく収集してネット上にさらす行為)の被害が広がり、しばしばマスコミでも報道されています。
今では検索エンジンやSNSの公開情報を収集し、分析してつなぎ合わせることで、かなり個人情報につか付くことが容易にできるようになりました。
さらに「データブローカー」などの独自に集めたデータを売買する業者も現れています。
ドキシングの被害によって、プライバシーを暴露されたり、いわれのない中傷を受けるリスクは誰にも存在しています。
Facebook、LinkedIn、Clubhouseの問題からユーザーがドキシングに注意すべきことは?
対策が講じられるまで公開情報は制限した方が良い
ネット上では、セキュリティの専門家から、Facebookに対して、非難だけでなく、
「あきれた」
「犯罪者相手にEWBスクレイプ禁止などの規約が通じるわけもなく、哀れだ」
といった批判が多数寄せられています。
「誰でもアクセスして、公開されているユーザープロフィール情報を収集してダウンロード(WEBスクレイプ)できること自体が大問題ではないか」という疑問を強く感じます。
しかし、ルールや法的にも、Facebookが主張しているように、現状ではなかなか規制することはできません。
つまり、今回の事例から、「大手のサービスと言えども不正侵入されなくても、公開情報から個人情報が拭き取られる危険がある」ことをユーザーは覚悟し、公開情報には慎重に対処すべきです。
公開情報の制限方法「Facebookの設定方法」
フェイスブックからの説明では、「検索と連絡に関する設定」で「電話番号であなたを検索できる人」を「自分のみ」にしてあれば、心配はないようです。
Facebookの公開情報については「Facebookヘルプ~Facebookの公開情報とは何ですか」に書かれていますが、
公開情報について、以下の点に留意してください。
・あなたと関連付けることができます。Facebook外部でも同様です。
・Facebookの検索または外部検索エンジンの検索結果に表示されます。
・あなたや友達が利用する、Facebookに統合されているゲーム、アプリ、ウェブサイトがアクセスできます。
・グラフAPI等のFacebookのAPIを利用する人が誰でもアクセスできます。
さりげなく書かれている「グラフAPI等のFacebookのAPIを利用する人が誰でもアクセスできます」が今回のWEBスクレイプ事件に該当する部分です。
こんなことで個人情報が漏れてはたまりませんから、設定を変更しましょう。
変更方法はFacebookのヘルプ
■Facebookプロフィールの基本データを編集したり共有範囲を選択したりするにはどうすればよいですか。
をご覧ください。
以下のように電話番号やメールアドレスであなたを検索できる人を「友達」か「自分のみ」にしてしまえば大丈夫です。
他のSNSにも必ず同様の設定がありますので、必ず見直しましょう。
2021年1月10日の朝日新聞にトランプ政権が危険性を指摘した「TikTokは個人情報を抜き取るのかアプリを解析」という大変興味深い記事が掲載されました。TikTok(ティックトック)は個人情報を収集して流出させているのか?危険性があるのか[…]
電話番号やメールアドレスが流出していないか調べましょう
信頼できる個人情報流出チェックサービスを使おう
対策のためまず行うべきことは、自分の電話番号やメールアドレスが流出していないか調べることです。
注意いただきたいのは、確認のためには自分の電話番号やメールアドレス、パスワードを相手に公開することになるため、信頼できないサービスを使ってはいけません。
もっとも定評ある、個人情報流出確認サービス「Have I been Pwned(HIBP)」が、今回Facebookから漏えいしたデータをデータベース化して、流出したかの有無を照会できるようになりました。
早速、自分の個人情報が漏えいしていないか、調べて見ましょう!
「Have I been Pwned(HIBP)」について詳しくは下記の当社ブログをご覧ください
これまで無数の企業やサービスから個人情報が流出していますが、「自分の電話番号やメールアドレス、パスワードの流出をチェックできるサービス」の中で、もっとも信頼でき安全な確認サイトが「HIBP~Have I been Pwned(私はやられてい[…]
もしも流出が確認されたら?
電話番号の流出が確認された場合は?
- ボイスフィッシング目当ての不正な電話がかかってくる危険性が高まります。家族全員にしっかりと注意喚起しましょう。
- SMS詐欺(スミッシング)の危険性も高まります。SMS文中のリンクは決してクリックしないように注意しましょう。
- 迷惑電話対策を実行しましょう
SMS(ショートメッセージ)を悪用する「スミッシング詐欺=SMSフィッシング詐欺」の被害が再び広がっています。ドコモ、日本郵便、Amazon、楽天の宅配の不在通知から、銀行の通知をよそおうものまで、フィッシングメール以上に被害が広がって[…]
メールアドレスの流出が確認された場合は?
- 流出したメールアドレス宛にフィッシングメールが来る危険性が高まります。文中のリンクは決してクリックしないように注意しましょう。
- 流出したメールアドレスを使っていたアプリやサービス全てを再確認し、パスワードを使い回していた場合は独自のものに変更しましょう。
近年激増している有名ブランドのフィッシングメールは、見ただけでは見分けることが難しく、クリックした先のフィッシングサイトも極めて精巧に作られているため簡単にだまされてしまいます。実際に届いたJCBおよびMUFGカード、EPOSカード、U[…]
パスワードの流出が確認された場合は?
- 流出しているパスワードは使用を停止し別の強力なパスワードに変えましょう
- 流出したパスワードを使い回していた全てのサービスのパスワードを変更しましょう
身に覚えがない「dアカウントでログインした方に送信しています」とか「dアカウントのセキュリティコード確認」などの通知メッセージを受け取った方はいませんか?2018年の秋。dアカウントのパスワードを使い回していた私は、不正アクセスされて不[…]
各SNSがユーザーの個人情報をどう扱っているか知っておこう
Appleの個人情報保護規制に反対するSNS
2021年4月26日に公開されたAppleのiOSの14.5から、Apple社の方針でユーザーの情報の外部提供が厳しく規制されて、事前にユーザーの許可を得ることが必要となりました。
またユーザーが「許可ない」と選択しても、アプリはユーザーに不利益を与えてはいけないとされています。
しかしAppleの規制についても、Facebookなど一部のサービスは「ユーザーの利便性を損なう」「企業のビジネスを阻害する」などと強弁に反対し、訴訟も起こしています。
SNSやネットサービスのアプリ調査から知る実態
「SNS等のアプリやサービスがユーザーの情報をどこまで外部に提供することが許されるのか?」は難しい問題です。
ユーザーの情報の外部提供は、各サービスやアプリの利用規約に明示されていて、建前はユーザーが同意している以上、不正ではありません。
しかし、我々のイメージ以上に多数のデータを外部に提供して利益を得ている事実を知ると、疑問を感じてしまいます。
またユーザーの個人情報の扱いについては、各サービス会社によって相当の違いがあります。
ユーザーとしては各会社が「本音でユーザー情報をどう取り扱っているのか」は知っておくべきでしょう。
参考になる資料として、スイスのクラウドサービス会社pCloudが発表した記事
The most invasive apps: which apps are sharing your personal data?
を元に、アプリが外部にどのくらい私たちのデータを出しているのかの実態をご説明します。
人気アプリのほとんどはユーザーデーターを外部と共有
pCloudの調査方法は非常にシンプルです。
Appleは2020年にプライバシーポリシーを厳格化し、各アプリにユーザーの情報提供の実態を提出させました。
そしてその結果を、iPhoneやMAC用のアプリを配布しているApp storeで、各アプリがユーザーのデータをどのように外部に提供しているか?14の区分に分けて公開しています。
14の区分とは、
「連絡先情報/ヘルスケアとフィットネス/財務情報/位置情報/機密情報/連絡先/ユーザーコンテンツ/閲覧履歴/検索履歴/ID/使用状況/購入履歴/システムの診断情報/その他」
です。
pCloudの調査は世界で幅広く使われている102のアプリやサービスについて「Appleの区分を各アプリがどれだけ外部と共有しているのか?」を調べて、下の表のようにまとめました。
縦軸がアプリ/サービス名、横軸が提供されている情報です。
これらの情報は、アプリ自身がサービスの質を高めたり分析することや、広告表示に使われますが、外部のデータ会社と共有されて、再構成され「ユーザーがが何を望んでいて、何を売ったら良いのか」を広告宣伝する資料など、幅広い用途に使われてしまいます。
■引用:https://blog.pcloud.com/invasive-apps/
この表を見てお分かりのように、全てのアプリが外部に情報を提供していますが、一部のアプリが極端に多くの情報共有を行っていることが分かります。
もっとも多くの情報を外部と共有しているのはInstagram
上記の表や他の分析から分かることは、
- Instagram、Facebook、LinkedIn、Uber Eatstが多くのデータを外部と共有している上位。
- 特にInstagramは、閲覧履歴や個人情報を含むデータの79%を外部と共有している。2位は親会社のFacebook。
- Instagramと親会社のFacebookだけは、「連絡先のデータ」を外部と共有している。
と言う事実です。また逆に、
- Skype、Microsoft Teams、Clubhouse、Netflix、Signalなどは、ユーザーのデータをまったく外部と共有していないサービス。
も存在していました。
最初にお断りしたとおり、アプリが外部とデータを共有することには、サービス開始時に必ず説明されて、ユーザーも同意している以上、まったく合法的です。
しかしこれだけ多くの情報が流されていて、FacebookとInstagramに至っては連絡先データまで提供していることには、大きな驚きととまどいを感じてしまいます。
サービスの選択するときは、この事実を知った上で、適切な設定をして使いましょう
また、この調査でに取り上げられているような、全世界に多数のユーザーを持つ大規模で透明性の高いサービスでも、これだけの情報提供があることです。
「そうでない組織が作っているアプリやサービスを使う背景に一体どのようなリスクがあるのか?は十分に理解しておく必要がある」と思います。
スマホのアプリは生活に欠かせないものですが、危険アプリがアクセス権限を悪用して個人情報を流出させる事例も多発しています。また広告代や課金目当てに不要アプリをすすめる詐欺広告も迷惑や被害を生み出しています。さらに大手サービスも含む「大量の[…]
まとめ:
「このサービスは何を目的で提供されているのか?」を考えてから、アプリやネットサービスを利用しましょう
全てのサービスやアプリは慈善事業ではなく、営利目的ですから、「各サービスが何で収益を上げていて、自分の何を提供する代わりに無料でサービスを受けられるのか?」を考えておくことは大切です。
「市場で提供されている物には価値にふさわしい価格がある」ことは常識として誰もが知っていることですが、ネット上では「無料が当たり前」などの勘違いが横行している気がします。
「アブリは有名で実績があるものを選択する」
「感情的な警告や通知で宣伝するようなアプリは使わない」
「無料や価格の安さに頼って選択しない」
などの良識的な選択眼で、正しく便利なサービスやアプリを選び使いましょう。
「デジタル遺品やデジタル遺産の継承~デジタル終活」のために「パスワードマネージャー(パスワード管理ツール)などアプリやサービスを使いたいが、いろんなサービスがありすぎで、選択に迷ってしまう」という方のため、「アプリやオンラインサービスを選ぶ[…]
