Facebookのアクセストークン流出問題、日本の被害状況は「まだ調査中」

米Facebookプライバシー部門副責任者のロブ・シャーマン氏

　Facebookは、9月下旬に約3000万人のアカウントへのサイバー攻撃が確認された問題について、日本を含む特定の地域における被害状況や、攻撃者が窃取した情報の利用用途はまだ調査段階としつつも、同社がセキュリティ専門チームの人員を2018年中に2万人に増強し、ユーザー向けの保護機能などを強化して対策を講じることを明らかにした。

　コンサルティング会社である英ケンブリッジ・アナリティカによる、Facebookの8700万人分の個人データ不正利用事件を受けて、同社が取り組んできたというセキュリティ対策やプライバシー保護について、10月17日に実施された記者会見の中で言及された。

　9月下旬に確認されたサイバー攻撃で流出したのは、ログイン後のセッション維持に利用される「アクセストークン」で、ユーザーのプロフィールページが他人からどう見えるかを確認できる「View As」機能の脆弱性が悪用されたものだった。この攻撃の影響を受けたとみられるアカウントには、ニュースフィード上部に告知を表示したり、強制ログアウトやアクセストークンのリセットなどの対策を講じた。

Facebookの公式ブログより

3月以降、「プライバシーセンター」の強化や開発者によるユーザーデータへのアクセスを制限

　なお、英ケンブリッジ・アナリティカによる個人データの不正利用が発覚した3月以降、Facebookでは、アカウント情報やセキュリティ、広告表示の設定機能「プライバシーセンター」を強化。ユーザーが登録した情報がFacebook上でどのように管理されているのかを明確に示し、設定変更も行いやすいユーザーインターフェースにしたという。

　また、外部サービスとの連携時、ユーザーの投稿内容、写真、イベント、グループなどの情報に関して、開発者によるアクセスに制限を加えたという。過去3カ月以内にアクセスのないアプリは、ユーザーのデータへのアクセスを無効にしたり、外部サービスで共有されている情報について確認できる通知などもニュースフィードで上で確認したり、連携を解除できるようになった。

　さらに、ユーザーの過去の投稿内容、リアクション、コメント、検索した情報などをカテゴリー別に管理できる「個人データ管理ツール」も導入した。外部サービスやアプリとの連携を外したり、過去に公開した投稿などの編集や削除が行える。投稿内容や写真、連絡情報をダウンロードして端末に保存できる機能も追加した。

　Facebookログイン時に利用する2段階認証に関しては、登録された電話番号の利用に不安持つユーザーの声もあったことから、電話番号以外にサードパーティの認証アプリを使用できるようにした。

　記者会見には、米Facebookプライバシー部門副責任者のロブ・シャーマン氏がビデオチャットで参加し、同社はデータの管理に関して透明性を確保するため、開発者、デザイナー、プライバシーの専門家、政府関係者などを集めたワークショップ「Design Jam」を実施していることを紹介。また、各業界の意見をサービスに反映させるためのオープンプラットフォーム「Trust Transparency & Control Labs（TTC）」も立ち上げた。ここでは、新機能を提供する上で迅速な意思決定を行えるようにしているそうだ。

　シャーマン氏は、ユーザーのデータやプライバシーを保護するための取り組みを強化することで、「どの機能を使用していてもデータ保護がデフォルトで行われるようなサービス構築を目指す」としている。