本記事はThe Conversationに掲載された、オーストリアのEdith Cowan Universityでコンピュータセキュリティを専門とするPaul Haskell-Dowland准教授による記事「Facebook data breach: what happened and why it’s hard to know if your data wasleaked」をCreative Commonsのライセンスおよび執筆者の翻訳許諾の下、掲載するものです。
先週末に、106カ国、5億人のFacebookユーザーのデータが侵害されていたことが報告されました。
5億3,300万件という数字は驚異的ですが、今回の流出事件により、私たちが使用しているシステムの多くが、サイバー犯罪者から私たちの情報を適切に保護するように設計されていないことを改めて浮き彫りにしました。
また、自分のデータが侵害されたかどうかを簡単に判断することもできません。
目次
何が起きたのか?
サイバー犯罪者が利用するアンダーグラウンドサイトで、5億人以上のFacebookユーザーの情報が公開されました。
今回の事件は、新たなデータ流出ではなく、過去に侵害されたデータがオンライン上で購入できるようになっていたことを明らかにしたものです。Facebookと数百万人のユーザーがこれを受け、再び被害を被りました。
今回のデータ流出は、Facebookが2019年8月に修正したとされる脆弱性に関連するものと考えられます。データの正確な出所は確認できませんが、Facebookのシステムにおける正規の機能が誤用されていた可能性が高いでしょう。
このような誤用は、2019年に行われたPayID攻撃のように、一見何の問題もないウェブサイトの機能が、攻撃者によって予想外の目的で使用された場合に発生します。
Facebookの場合、犯罪者は、データを取得するプロセスを自動化する技術を使って、Facebookのシステムからユーザーの個人情報を取得することができます。
これは、2018年に起きた、Facebookケンブリッジ・アナリティカスキャンダルと同様、ハッキング事件ではなく、Facebookプラットフォームの完全に合法的な機能が悪用されたものでした。
データは当初、合法的に取得されていましたが、Facebookのルールによると、その後はユーザーからの適切な同意を得ずに第三者に渡されました。
