Enhance your password security.

Get Started
CTA icon

Facebook のハッキング:Facebookにおけるセキュリティ侵害を振り返る

February 2, 20231 min read

サイバーセキュリティ

お金と従業員があるほど、セキュリティも高くなると信じたいところです。Facebookにはその両方が大量にありますが、同社の過去10年間のデータ侵害の歴史を見てみると、ユーザーが信頼できる安全なプラットフォームを作るのに、そのリソースが使われていないことが伺えます。

このような侵害であなたのプライバシーが侵されても、おそらくそのプラットフォーム上にそのままアカウントを残しておきたいと思うでしょう。「Facebookをやめる」という選択肢はないかもしれませんが、セキュリティが完全でないフォーラムであっても、個人アカウントを保護するための措置を講じることはできます。

Facebookのセキュリティ侵害の歴史

過去10年間、Facebookは数々の有害なデータ侵害やスキャンダルに巻き込まれてきました。以下で、2022年までの侵害事件を振り返るとともに、今後のデータ漏えいの影響を軽減するための対策についてみていきましょう。

2005年: MITが7万人分のユーザーデータを集め、あることを証明する

2005年12月、MITの研究者が、公開された情報をダウンロードするスクリプトを開発し、Facebookのセキュリティ侵害が初めて確認されました。このケースでは、研究者は、「SNSのユーザーによるオンライン上の過度な情報共有のために、漏えいに脆弱である」ことを証明しようとしており、そこでこのMITのグループが、7万人以上のユーザーの個人データを、本人の許可なく取得したのです。

そしてこちらがそれを好むが否かにかかわらず、公に投稿した情報はすべて集められ、例えばアカウントハッキングのような悪意のある行為、あるいはターゲット広告のような、一見無害に見える目的のために使用されます。

2013年:600万件のアカウントに侵入

2013年7月、Facebookのプラットフォームの「バグ」によって、600万人以上のユーザーの個人情報が不正に流出する事件が発生しました。このバグは、ユーザーが「友達」リストに登録されている連絡先の情報をダウンロードできるようにするためのものであり、その際、閲覧権限のない追加情報をダウンロードすることになるのです。

サイバー犯罪者は2012年からその脆弱性を悪用しており、Facebook社の幹部がこの脆弱性に気づいて修正プログラムを発行する1年以上前に、この脆弱性を利用していました。盗まれたデータには、メールアドレスや電話番号などが含まれています。

2014年: ケンブリッジ・アナリティカ問題

有権者プロファイリング会社のケンブリッジ・アナリティカ 社は、5,000万人のFacebookユーザーの個人情報に、本人の認識や許可なくアクセスすることができました。技術的には違反や意図しない脆弱性ではありませんが、ケンブリッジ・アナリティカはFacebookのポリシーに直接違反する形でデータを使用し、それによって米国の有権者の姿勢に関する貴重なインサイトをトランプ陣営に提供し、選挙の揺さぶりに貢献した可能性があります。

2018年、さまざまなニュースメディアによって、このFacebookのセキュリティ侵害の広がりが明るみになりましたが、それまでは、同社によって詳細の多くは伏せられていました。自称「外部の研究者」がFacebookにお金を払って情報を入手したのですが、それ自体は同社の規則で認められていた行為でした。ところがこの関係者は、データをケンブリッジ・アナリティカに渡し、ケンブリッジ・アナリティカはそのデータを個人顧客の利益のために使用したのです。- Facebookはそれを絶対に許可していません。そしてこの詐欺が発覚した後も、ケンブリッジ・アナリティカには不正に入手した情報の多くが保管されていました。

この事件で、国内外の政府関係者などは、Facebook のセキュリティがひどく甘く、ユーザーの情報をほとんど何の気なしに外部の事業者に流したとして、猛烈に批判しました。

この批判に対し、マーク・ザッカーバーグ氏は「Facebookはユーザーデータを売っていない」と述べ、プラットフォームに掲載されているポリシーを指摘しました。

2019年3月:6億件のパスワード流出

2019年3月、サイバーセキュリティ専門家のブライアン・クレブス氏は、Facebookが2,000人以上の Facebook 従業員が利用できるプレーンテキスト(文字のみ)のファイルに、6億件以上のユーザーパスワードを保存していたことを知りました。従業員は、社内で構築したアプリケーションを通じて、そのパスワードを記録・保存していたのです。調査の結果、2012年までさかのぼったパスワードがプレーンテキストで発見されました。

Facebook は問題の解決に取り組み、「私たちにとって、皆様の情報の保護以上に重要なことはありません。Facebookでは、継続的なセキュリティの取り組みの一環として、今後も改善を続けていきます。」という内容を含む公式声明を発表しました。

これは期待できそうだと思ったのですが、その後、残りの2019年ではこうなりました。

2019年4月:一般公開サーバーで5億4千万件の Facebook 記録へのアクセスが可能に

その1カ月後、Upguard のサイバーリスクチームは、5億4千万件以上の記録が、アカウント名やFB IDなどの詳細なデータが含まれている『一般公開』のサーバーに保存されていたことを報告しました。Upguard は1月からサーバーをホストしているメキシコの会社と連絡を取ろうとしていましたが、データの確保に成功したのは4月になってからでした。

2019年9月:さらに4億1900万件の Facebook ユーザー記録を公開サーバーに登録

あるグループが所有する公開サーバーに、Facebook固有のIDや電話番号、性別、位置情報など、あらゆる情報を含む4億1900万件の Facebook の記録があることが判明しました。これは、Facebook が変更を加えることを発表し、やるべきことがあることを認識していた4月の事件を呼び起こす不穏な動きでした。

ただ残念なことに、2019年の Facebook の 悪夢はまだ終わっていなかったのです。

2019年12月:3億件の Facebook アカウントがダークウェブに

オンラインウォッチドッグ(WDT)は、2019年12月にFacebook の最も不穏なの侵害の1つを検出しました。2億6700万人以上のFacebookユーザーがダークウェブ上で個人データを晒され、それはおそらく最大2週間にわたって晒されたのです。ダークウェブは果てしない犯罪行為の本拠地ですから、この侵害はひどいものでした。メディアがこの侵害を報じた時点で、Facebookはすでにこの脆弱性を修正したと思われるセキュリティ変更を行っていましたが、2020年3月には、さらに4200万件の記録が異なるサーバーで発見され、ベトナムに拠点を置く同じ犯罪組織によって収集されてしまったのです。

2021年:5億件のアカウントが流出

2021年は順風満帆になると期待していた人たちは、4月3日の週末に起きたFacebookの大規模なハッキングに肩を落としました。このFacebook の失態により、約5億人のユーザーの名前、誕生日、場所、電話番号などの個人情報が流出してしまったのです。

フェイスブックは漏洩を認めましたが、それは2019年のセキュリティ問題に起因するものであり、彼らのチームによってその後修正されたと述べていました。ただ多くのFacebookユーザーは、情報の流出で被害の継続が懸念されることから、その声明がほとんど慰めにならないと感じました。米国だけでも3,000万件のアカウントが影響を受けており、自分のアカウントがその中に含まれているかどうかを、Facebookでは簡単に調べることはできないのです。ちなみに専門家によると、ハッカーにアカウント情報を盗まれた場合、約20%の確率でハッキングされるそうです。自分が被害に遭っているかどうかは、haveibeenpwned.comで確認してみてください。

Facebookやその他のオンラインサイトにおける個人情報の保護について

Facebookは、その不安定なセキュリティの歴史にもかかわらず、今でもSNSにおける巨大勢力です。セキュリティに関する大規模な問題がいくつかあるのにも関わらず、ユーザーはこのフォーラムに固執しています。ただ、Facebook があなたのデータを自動で守ってくれると考えるべきではありません。なので積極的に、自分なりの安全策を講じるようにしましょう。

Facebookのセキュリティ設定で、セキュリティ侵害を制限する

専門家は、Facebookのセキュリティ強化のために、以下の対策をとることを推奨しています。

  • Facebookの活動履歴を消去する:Facebookは、あなたがプラットフォームを使用していないときにオンラインでの活動を追跡し、広告のターゲットを絞るのに使用することができます。この処理を停止するには、メニューの【設定】を選択し、Facebookアクティビティを「OFF」にして、【履歴を消去する】を選択してください。

  • サードパーティのトラッキングを無効にする:Facebookのログイン情報を使って他のアプリケーションにサインインしている場合、そのアプリケーションはあなたの行動を追跡しています。この機能を無効にするには、メニューから【設定とプライバシー】を選択し、【アプリとWebサイト】を選択します。「有効」をクリックすると、個々のアプリケーションからの追跡を無効にすることができます。

  • Facebook(および他のサイト)で2FA(2要素認証)を使う:このステップにかかるひと手間は、かける価値があります。これだと、アカウントに侵入するには、ハッカーはアカウント主の携帯電話にのみ送信されるセキュリティコードが必要になりますからね。Facebookでは、メニューをクリックし、【設定とプライバシー】、【セキュリティとログイン】の順に選択すると、この機能を有効にすることができます。次に、【2要素認証】を選択し、電話番号とセキュリティコードを入力するだけです。

  • 個人の投稿を閲覧制限する:Facebookの個人アカウントは「非公開」に設定すべきであり、本当に個人的な情報を共有したい場合は、その投稿を見ることができる人を制限すべきです。やり方は、【設定とプライバシー】→【設定】で、今後の投稿を誰が見ることができるかを選択し、その後、【編集】をクリックします。また、過去の投稿を見ることができる人を制限することもできます。

セキュリティ侵害を防ぐためのパスワードセキュリティの重要性

パスワードセキュリティは、個人情報やアカウントへのアクセスを安全に保つにはベストな方法の一つです。セキュリティ侵害は、ハッカーが、おそらくFacebookから盗んだパスワードをユーザーがパスワードを使いまわしていることを期待して他の全アカウントに入力することから、被害が大きいのです。

誰だって他の多くのオンライン ユーザーと同じように、異なるパスワードを10個以上覚えるよりも簡単だからという理由だけでパスワードを使い回すことがあります。そうするとサイバー犯罪者によって、Facebook のセキュリティ侵害が、あなたの懐や評判に害を及ぼすような大きな犯罪行為に変わってしまう可能性があります。その点、全アカウントに固有のパスワードを設定している場合だと、1つのアカウントのセキュリティ侵害が他のアカウントのセキュリティ侵害につながることはありません。

TeamPasswordがセキュリティ侵害の防止にお手伝いできること

仕事上のパスワードの安全な管理は、誰よりも几帳面な会社にとってさえ、負担が大きいように思われます。幸いなことに、TeamPassword を使えば、ユニークなパスワードの作成と保存が簡単になります。さらにTeanPasswordは、最高のセキュリティ基準を満たす、推測不可能なパスワードを作成する無料のパスワードジェネレータをはじめ、最新のパスワード安全機能を提供しています。

SNS の大手などがパスワードを流出させても、Teampasswordを利用すれば、アカウントの安全性は確保されます。ウェブサイト、SNS、ブログなど、社内やクライアントのパスワードを追加、共有、管理することができるパスワードサービスを提供しており、何十もの安全なパスワードを覚える必要はありません。セキュリティ侵害から守りながら、その部分をシンプルにすることができるのです。

すべてのアカウントをハッキングから守ることはできませんが、侵入されたときの被害を最小限に抑えるのは可能です。

TeamPassword で個人とビジネスの情報を安全に保ちませんか。今すぐ14日間の無料お試しでご体験ください!

facebook social icon
twitter social icon
linkedin social icon
Enhance your password security

The best software to generate and have your passwords managed correctly.

TeamPassword Screenshot
Recommended Articles
サプライチェーン攻撃とは?手口や被害事例、対策について解説

サイバーセキュリティ

June 14, 20241 min read

サプライチェーン攻撃とは?手口や被害事例、対策について解説

近年、巧妙で深刻になっているサイバー攻撃の中でも、特に企業にとって脅威なのが、「サプライチェーン攻撃」です。本記事では、サプライチェーン攻撃の全体像を見ていき、被害事例や具体的な手口、そして被害を未然に防ぐためのセキュリティ対策まで、詳しくお話します。

have I been pwned?について解説!もし情報漏洩が自分の身に降りかかった場合の対処法とは?

サイバーセキュリティ

June 11, 20241 min read

have I been pwned?について解説!もし情報漏洩が自分の身に降りかかった場合の対処法とは?

本記事では、have I been pwned?について解説します。have I been pwned?は、データ侵害で盗まれた個人情報を精査し、ユーザーがその被害者に含まれていないかどうかを調べられるように整理してくれるWebサイトであり、データ侵害において欠かせない存在です。

Emotet(エモテット)とは?悪質なマルウェアの脅威とその対策について解説

サイバーセキュリティ

June 7, 20241 min read

Emotet(エモテット)とは?悪質なマルウェアの脅威とその対策について解説

近年、サイバー犯罪の脅威はますます深刻化しており、その中でもEmotet(エモテット)という名前が頻繁に取りざたされるようになりました。本記事では、主にフィッシングメールやスパムメールを介して配布されるエモテットについて、その特徴や対策など関連情報をわかりやすく解説していきます。

The Password Manager for Teams

TeamPassword is the fastest, easiest and most secure way to store and share team logins and passwords.