4月3日に米Business InsiderはFacebook利用者5億3000万人以上の情報が安全性の確保されていないデータベース上に公開されていたことを報じました。Facebook社ではこのような問題に取り組む専門のチームを設けており、私たちのサービスを利用する人々に与える影響についても把握しています。本件で重要なのは、悪意のある人々は、Facebook社のシステムをハッキングしたのではなく、2019年9月以前にFacebook社のプラットフォームからスクレイピングすることにより、データを取得したということです。
スクレイピングとは、自動化されたソフトウェアを使ってインターネット上の公開情報を取得する一般的な手法であり、その結果、今回のようにオンラインフォーラムに公開されてしまうこともあります。今回のデータセットを入手するために使用された方法は、2019年に既に報道(外部リンク:英語のみ)されています。これはインターネットサービスをスクレイピングするために意図的にプラットフォームのポリシーに反して不正行為を行う人々とテクノロジー企業が、継続的な対立関係であることを表す一例です。Facebook社が行った措置の結果、2019年に起こったデータのスクレイピングによる問題と同様の事例は今後起こらないと考えています。しかし、今回報道されたデータおよびFacebook社が行った措置に関する懸念の声を受け、改めて詳細をご説明させていただきます。
経緯について
今回報じられたデータは、2019年9月以前に悪意のある人々が私たちの連絡先インポートツールを使用して、Facebook利用者のプロフィールから入手したものであると考えています。この機能は、利用者が自身の連絡先リストを活用し、プラットフォーム上でつながる友達を簡単に見つけられるように設計されていました。
2019年に悪意のある人々がこの機能をどのように不正行為に使用しているのかを認識し、Facebook社は連絡先インポートツールに修正をしました。当時の修正点としては、彼らがソフトウェアを使用し、私たちのアプリを模倣したり、大量の電話番号をアップロードし、どの電話番号がFacebook利用者のものと一致するかを確認できないように変更をしました。修正前の機能では、利用者プロフィールを照合し、公開プロフィールに含まれる一定の情報のみは取得することができましたが、これらの情報には利用者の金融情報や健康情報、パスワードは含まれていません。
アカウントを安全に保つために
利用者をサポートするための機能を悪用してデータをスクレイピングすることは、Facebook社の規約に違反します。このような行為を検知し、防止するために全社的に対処しています。
Facebook社は、このようなデータセットの削除に取り組み、利用者のデータを保護することに注力するとともに、機能を悪用する人々を可能な限り積極的に追跡していきます。過去のデータセットの再流通や新たなデータセットの出現を完全に防ぐことは困難ではありますが、専任チームを設け、今後もこの課題に対して注力してまいります。
2019年に指摘された問題には既に対処していますが、利用者の皆様には常に、自分の設定が公開したい内容と一致していることを確認いただくことを推奨しています。今回の事例では、「Facebookで私を検索できる人」を管理するための設定を更新することが有効です。また、プロフィール上の特定の情報を誰が見ることができるかや、二段階認証を有効にするなど、定期的にプライバシー設定の確認を行い、自分の設定が正しいかどうかを確認することを呼びかけています。