今月3日、世界106ヶ国にわたるFacebookユーザー5億3300万人の個人情報が、オンラインで公開されていることをBusiness Insiderが報道した。
個人情報のうち、3200万人分が米国ユーザー、1100万人分が英国ユーザー、600万人分がインドユーザーとなっており、日本ユーザ42万人分の情報も含まれる。これらは電話番号・Facebook ID・氏名・場所・生年月日・経歴・メールアドレスの情報で、2019年に起きた大規模な情報流出のデータが再び拡散したものとされる。
何が起きて、今後どのようなリスクが考えられるのだろうか?
何が起きたのか
今回、公開されていた個人情報を発見したのはサイバー犯罪情報会社Hudson Rock(ハドソンロック)のアロン・ガルCTOだ。Twitter上でこの問題について警告した上で、Facebookの対応について「全くの怠慢」だと批判した。
前述したように、これらは2019年に起きた大規模な情報流出によるデータだ。この問題を巡ってFacebookは、米連邦取引委員会(FTC)から50億ドル(約5400億円)の制裁金を課せられている。そのため同社は「2019年に報告された古いデータであり、同年8月にこの問題を修正した」と見解を示しており、過去の問題だという姿勢を崩していない。
今回流出したデータの中には、Facebookのマーク・ザッカーバーグCEOや共同創業者であるクリス・ヒューズ氏とダスティン・モスコビッツ氏の情報も含まれていた。
今年1月には、Telegramを通じて何者かが5億人のデータを販売していることも確認された。ガル氏は、「流出したデータを保持している犯罪者が、個人情報によって収益を得た後、データを無料でリークする」傾向があると指摘する。今回、データが販売されてから3ヶ月後に閲覧可能となった経緯は、その指摘と整合的だ。
いずれにしても、過去に流出したデータがハッカー向けのウェブサイトで無料で閲覧可能な状態にされたことで、再び詐欺やハッキング被害に遭う可能性が高まっている。
どんな犯罪が考えられるか
個人情報の流出によって、どのような詐欺や被害が考えられるのだろうか。
最も指摘されているのは、ソーシャルエンジニアリングによる被害だ。流出している個人情報にはパスワードが含まれていないため、電話番号やメールアドレスを通じてパスワードを尋ねることで、犯罪者が情報を聞き出す可能性がある。例えば、企業のセキュリティ担当者や上司、公的機関等になりすましてパスワードを取得するケースが考えられる。
また、流出したメールアドレスや電話番号、氏名などを利用して、悪意あるマーケティング活動(様々な勧誘や商品のセールスが頻繁に行われるなど)に利用されるリスクもある。見たことがないサイトから商品の紹介リンクなどが送られてきても、絶対に開かないようにするべきだ。
いわゆるフィッシング詐欺のように、Facebookを装って個人情報の流出を警告することで、偽サイトに誘導し、パスワードや重要な情報を聞き出すケースもあるかもしれない。ガル氏は、向こう2-3ヶ月は特に注意する必要があると述べている。
多くの人は、FacebookやAmazon、Twitter、ヤマト運輸や佐川急便などの運送会社を名乗ったSMSを受け取り、そこに記載されたURLが詐欺サイトだと気づいた経験があるかもしれない。こうしたリスクについて、しばらくの間はより慎重になるべきだ。
電話番号とのひも付き
今回特に懸念されているのは、メールアドレスと電話番号の両方が流出した点だ。多くのウェブサイトは、メールアドレスでのログインと共に、電話番号によってその身元を確認するフローを取っている。
両者のデータが簡単に結び付けられる場合、犯罪者が不正アクセスをおこないやすくなっている可能性がある。こうした点も懸念して、後述する「Have I Been Pwned」の創設者であるトニー・ハント氏は、同サイトで電話番号の照合機能をリリースするべきかを検討している。
42万人に含まれている?
では、自身が今回流出した日本の42万人に含まれているかを確認する方法はあるだろうか?答えはイエスだ。
「Have I Been Pwned」では、自身のメールアドレスやパスワードがオンライン上に流出していないかを調べることができる。現在まで、およそ100億件弱の流出データをサイト内に蓄積しており、ユーザーが自身のメールアドレスを入力することで、その膨大なデータと照合して流出の有無がわかる仕組みになっている。
Have I Been Pwned(同サイトHPより)
上記のサイトにアクセスした上で、メールアドレスを入力して「pwned?」を押す。もしメールアドレスが流出していなければ、以下のような緑色の画面が表示される。
流出していない場合の画面
一方で、メールアドレスが流出している場合は、以下のように赤色の画面が表示される。
流出している場合の画面
ある程度の期間インターネットを使っている人の場合、「何らかの個人データが漏えいしている可能性は非常に高い」ため、もし赤色が表示されていてもパニックになる必要はない。以下の対策をとっていこう。
個人情報の流出対策は?
Facebookを含めて、何らかの個人情報が流出した可能性がある場合、どのような対策を取ればいいのだろうか?
ID/パスワードを変更
まず最初にやるべきは、IDとパスワードを変更することだ。特にパスワードについては、単純な数字や記号の羅列ではなく、複雑で推測されづらいものにする必要がある。
最近では、1Password(ワンパスワード)をはじめとしたパスワード管理ツールもあり、Googleなどが安全性を考慮したパスワードを推奨してくるケースもある。こうした信頼できるツールを活用しながら、IDとパスワードを変更しよう。
パスワードを確認
「Have I Been Pwned」では、流出履歴があるパスワードを利用すると警告が表示されるサービス「Pwned Passwords」も開始している。これによって、新たにアカウントを作成する際、そのパスワードが既にオンラインで流出しているかを確認できるようになった。
パスワード自体が流出していた場合、もしそのパスワードを他サービスで使用していたら、すぐにパスワードを変更する必要がある。
アカウントを保護(二段階認証)
Facebookについては、自身のFacebookアカウントを保護するために、二段階認証の設定するべきだ。二段階認証とは、パスワードとは別の要素を利用することで、不正アクセスを防止するセキュリティ機能だ。二段階認証を設定することで、誰かがFacebookアカウントへのログインを試みる度に、パスワード以外のログイン認証やログインコードの入力が求められる。パスワード以外のログイン認証の方法として、セキュリティキーの利用・認証アプリの利用・SMSに送付されるコードの利用の3種類ががある。
また、誰かがログインを試みた際にアラートが送られてくる設定も存在する。自身がログインした場合は、ログインアラート内の「私です」というボタンをタップすることで問題なくログインすることができる。
しかし、他人がログインを試みた際は「私ではありません」というボタンをタップすることによって、手順に従いパスワードの変更を促される。不正なログインを防止し、個人情報の流出対策として有効な手段である。
Facebookの責任は?
個人情報の流出について、Facebookには新たにどのような責任が問われるのだろうか。
今回流出したデータは2019年のものであり、Facebook側に法的な責任を問うのは難しいという見解が専門家から出ている。杉本武重弁護士は「生体データのような重要な個人情報を含んでいないため、(過去と)同様の高額賠償を伴う集団訴訟になる可能性は低い」と指摘する。
ただし、Facebookが責任を認めたり、個人情報が危険に晒されていることをユーザー側に通知していないことは、大きな問題だと指摘する声はある。現時点で、Facebookからの通知や謝罪はないものの、5億人以上もの大規模な流出について、反発が強まっていく可能性はある。
Facebookはユーザーの個人情報について保護する責任を有しているが、現時点ではユーザー自身が「自己防衛をおこなう」しかないのが現実的なラインだ。
過去にも個人情報の流出
Facebookによる個人情報の流出は、初めてではない。2018年、セキュリティの脆弱性を突かれ、パスワードを毎回入力しなくてもログインが可能になる認証情報(アクセストークン)が約5000万件流出した過去がある。
また英コンサルティング企業Cambridge Analytica(ケンブリッジ・アナリティカ)による、Facebookのデータへの不正アクセスについては大きな社会問題となり、巨大テック企業によるデータ及びプライバシー管理についての広範な議論が生じた。
