Facebook のハッキング：Facebookにおけるセキュリティ侵害を振り返る

お金と従業員があるほど、セキュリティも高くなると信じたいところです。Facebookにはその両方が大量にありますが、同社の過去１０年間のデータ侵害の歴史を見てみると、ユーザーが信頼できる安全なプラットフォームを作るのに、そのリソースが使われていないことが伺えます。

このような侵害であなたのプライバシーが侵されても、おそらくそのプラットフォーム上にそのままアカウントを残しておきたいと思うでしょう。「Facebookをやめる」という選択肢はないかもしれませんが、セキュリティが完全でないフォーラムであっても、個人アカウントを保護するための措置を講じることはできます。

Facebookのセキュリティ侵害の歴史

過去１０年間、Facebookは数々の有害なデータ侵害やスキャンダルに巻き込まれてきました。以下で、２０２２年までの侵害事件を振り返るとともに、今後のデータ漏えいの影響を軽減するための対策についてみていきましょう。

２００５年： MITが７万人分のユーザーデータを集め、あることを証明する

２００５年１２月、MITの研究者が、公開された情報をダウンロードするスクリプトを開発し、Facebookのセキュリティ侵害が初めて確認されました。このケースでは、研究者は、「SNSのユーザーによるオンライン上の過度な情報共有のために、漏えいに脆弱である」ことを証明しようとしており、そこでこのMITのグループが、７万人以上のユーザーの個人データを、本人の許可なく取得したのです。

そしてこちらがそれを好むが否かにかかわらず、公に投稿した情報はすべて集められ、例えばアカウントハッキングのような悪意のある行為、あるいはターゲット広告のような、一見無害に見える目的のために使用されます。

２０１３年：６００万件のアカウントに侵入

２０１３年７月、Facebookのプラットフォームの「バグ」によって、６００万人以上のユーザーの個人情報が不正に流出する事件が発生しました。このバグは、ユーザーが「友達」リストに登録されている連絡先の情報をダウンロードできるようにするためのものであり、その際、閲覧権限のない追加情報をダウンロードすることになるのです。

サイバー犯罪者は２０１２年からその脆弱性を悪用しており、Facebook社の幹部がこの脆弱性に気づいて修正プログラムを発行する１年以上前に、この脆弱性を利用していました。盗まれたデータには、メールアドレスや電話番号などが含まれています。

２０１４年： ケンブリッジ・アナリティカ問題

有権者プロファイリング会社のケンブリッジ・アナリティカ 社は、５,０００万人のFacebookユーザーの個人情報に、本人の認識や許可なくアクセスすることができました。技術的には違反や意図しない脆弱性ではありませんが、ケンブリッジ・アナリティカはFacebookのポリシーに直接違反する形でデータを使用し、それによって米国の有権者の姿勢に関する貴重なインサイトをトランプ陣営に提供し、選挙の揺さぶりに貢献した可能性があります。

２０１８年、さまざまなニュースメディアによって、このFacebookのセキュリティ侵害の広がりが明るみになりましたが、それまでは、同社によって詳細の多くは伏せられていました。自称「外部の研究者」がFacebookにお金を払って情報を入手したのですが、それ自体は同社の規則で認められていた行為でした。ところがこの関係者は、データをケンブリッジ・アナリティカに渡し、ケンブリッジ・アナリティカはそのデータを個人顧客の利益のために使用したのです。- Facebookはそれを絶対に許可していません。そしてこの詐欺が発覚した後も、ケンブリッジ・アナリティカには不正に入手した情報の多くが保管されていました。

この事件で、国内外の政府関係者などは、Facebook のセキュリティがひどく甘く、ユーザーの情報をほとんど何の気なしに外部の事業者に流したとして、猛烈に批判しました。

この批判に対し、マーク・ザッカーバーグ氏は「Facebookはユーザーデータを売っていない」と述べ、プラットフォームに掲載されているポリシーを指摘しました。

２０１９年３月：６億件のパスワード流出

２０１９年３月、サイバーセキュリティ専門家のブライアン・クレブス氏は、Facebookが２,０００人以上の Facebook 従業員が利用できるプレーンテキスト（文字のみ）のファイルに、６億件以上のユーザーパスワードを保存していたことを知りました。従業員は、社内で構築したアプリケーションを通じて、そのパスワードを記録・保存していたのです。調査の結果、２０１２年までさかのぼったパスワードがプレーンテキストで発見されました。

Facebook は問題の解決に取り組み、「私たちにとって、皆様の情報の保護以上に重要なことはありません。Facebookでは、継続的なセキュリティの取り組みの一環として、今後も改善を続けていきます。」という内容を含む公式声明を発表しました。

これは期待できそうだと思ったのですが、その後、残りの２０１９年ではこうなりました。

２０１９年４月：一般公開サーバーで５億４千万件の Facebook 記録へのアクセスが可能に

その１カ月後、Upguard のサイバーリスクチームは、５億４千万件以上の記録が、アカウント名やFB IDなどの詳細なデータが含まれている『一般公開』のサーバーに保存されていたことを報告しました。Upguard は１月からサーバーをホストしているメキシコの会社と連絡を取ろうとしていましたが、データの確保に成功したのは４月になってからでした。

２０１９年９月：さらに４億１９００万件の Facebook ユーザー記録を公開サーバーに登録

あるグループが所有する公開サーバーに、Facebook固有のIDや電話番号、性別、位置情報など、あらゆる情報を含む４億１９００万件の Facebook の記録があることが判明しました。これは、Facebook が変更を加えることを発表し、やるべきことがあることを認識していた４月の事件を呼び起こす不穏な動きでした。

ただ残念なことに、２０１９年の Facebook の 悪夢はまだ終わっていなかったのです。

２０１９年１２月：３億件の Facebook アカウントがダークウェブに

オンラインウォッチドッグ（WDT）は、２０１９年１２月にFacebook の最も不穏なの侵害の1つを検出しました。２億６７００万人以上のFacebookユーザーがダークウェブ上で個人データを晒され、それはおそらく最大２週間にわたって晒されたのです。ダークウェブは果てしない犯罪行為の本拠地ですから、この侵害はひどいものでした。メディアがこの侵害を報じた時点で、Facebookはすでにこの脆弱性を修正したと思われるセキュリティ変更を行っていましたが、２０２０年３月には、さらに４２００万件の記録が異なるサーバーで発見され、ベトナムに拠点を置く同じ犯罪組織によって収集されてしまったのです。

２０２１年：５億件のアカウントが流出

２０２１年は順風満帆になると期待していた人たちは、４月３日の週末に起きたFacebookの大規模なハッキングに肩を落としました。このFacebook の失態により、約５億人のユーザーの名前、誕生日、場所、電話番号などの個人情報が流出してしまったのです。

フェイスブックは漏洩を認めましたが、それは２０１９年のセキュリティ問題に起因するものであり、彼らのチームによってその後修正されたと述べていました。ただ多くのFacebookユーザーは、情報の流出で被害の継続が懸念されることから、その声明がほとんど慰めにならないと感じました。米国だけでも３,０００万件のアカウントが影響を受けており、自分のアカウントがその中に含まれているかどうかを、Facebookでは簡単に調べることはできないのです。ちなみに専門家によると、ハッカーにアカウント情報を盗まれた場合、約２０％の確率でハッキングされるそうです。自分が被害に遭っているかどうかは、haveibeenpwned.comで確認してみてください。

Facebookやその他のオンラインサイトにおける個人情報の保護について

Facebookは、その不安定なセキュリティの歴史にもかかわらず、今でもSNSにおける巨大勢力です。セキュリティに関する大規模な問題がいくつかあるのにも関わらず、ユーザーはこのフォーラムに固執しています。ただ、Facebook があなたのデータを自動で守ってくれると考えるべきではありません。なので積極的に、自分なりの安全策を講じるようにしましょう。

Facebookのセキュリティ設定で、セキュリティ侵害を制限する

専門家は、Facebookのセキュリティ強化のために、以下の対策をとることを推奨しています。

• Facebookの活動履歴を消去する：Facebookは、あなたがプラットフォームを使用していないときにオンラインでの活動を追跡し、広告のターゲットを絞るのに使用することができます。この処理を停止するには、メニューの【設定】を選択し、Facebookアクティビティを「OFF」にして、【履歴を消去する】を選択してください。

• サードパーティのトラッキングを無効にする：Facebookのログイン情報を使って他のアプリケーションにサインインしている場合、そのアプリケーションはあなたの行動を追跡しています。この機能を無効にするには、メニューから【設定とプライバシー】を選択し、【アプリとWebサイト】を選択します。「有効」をクリックすると、個々のアプリケーションからの追跡を無効にすることができます。

• Facebook（および他のサイト）で２FA（２要素認証）を使う：このステップにかかるひと手間は、かける価値があります。これだと、アカウントに侵入するには、ハッカーはアカウント主の携帯電話にのみ送信されるセキュリティコードが必要になりますからね。Facebookでは、メニューをクリックし、【設定とプライバシー】、【セキュリティとログイン】の順に選択すると、この機能を有効にすることができます。次に、【２要素認証】を選択し、電話番号とセキュリティコードを入力するだけです。

• 個人の投稿を閲覧制限する：Facebookの個人アカウントは「非公開」に設定すべきであり、本当に個人的な情報を共有したい場合は、その投稿を見ることができる人を制限すべきです。やり方は、【設定とプライバシー】→【設定】で、今後の投稿を誰が見ることができるかを選択し、その後、【編集】をクリックします。また、過去の投稿を見ることができる人を制限することもできます。

セキュリティ侵害を防ぐためのパスワードセキュリティの重要性

パスワードセキュリティは、個人情報やアカウントへのアクセスを安全に保つにはベストな方法の一つです。セキュリティ侵害は、ハッカーが、おそらくFacebookから盗んだパスワードをユーザーがパスワードを使いまわしていることを期待して他の全アカウントに入力することから、被害が大きいのです。

誰だって他の多くのオンライン ユーザーと同じように、異なるパスワードを１０個以上覚えるよりも簡単だからという理由だけでパスワードを使い回すことがあります。そうするとサイバー犯罪者によって、Facebook のセキュリティ侵害が、あなたの懐や評判に害を及ぼすような大きな犯罪行為に変わってしまう可能性があります。その点、全アカウントに固有のパスワードを設定している場合だと、1つのアカウントのセキュリティ侵害が他のアカウントのセキュリティ侵害につながることはありません。

TeamPasswordがセキュリティ侵害の防止にお手伝いできること

仕事上のパスワードの安全な管理は、誰よりも几帳面な会社にとってさえ、負担が大きいように思われます。幸いなことに、TeamPassword を使えば、ユニークなパスワードの作成と保存が簡単になります。さらにTeanPasswordは、最高のセキュリティ基準を満たす、推測不可能なパスワードを作成する無料のパスワードジェネレータをはじめ、最新のパスワード安全機能を提供しています。

SNS の大手などがパスワードを流出させても、Teampasswordを利用すれば、アカウントの安全性は確保されます。ウェブサイト、SNS、ブログなど、社内やクライアントのパスワードを追加、共有、管理することができるパスワードサービスを提供しており、何十もの安全なパスワードを覚える必要はありません。セキュリティ侵害から守りながら、その部分をシンプルにすることができるのです。

すべてのアカウントをハッキングから守ることはできませんが、侵入されたときの被害を最小限に抑えるのは可能です。

TeamPassword で個人とビジネスの情報を安全に保ちませんか。今すぐ１４日間の無料お試しでご体験ください！