「自動ログイン」に注意　Facebook個人情報流出

「自動ログイン」に注意　Facebook個人情報流出†

交流サイト（SNS）「Facebook」から8700万人分の個人情報が流出した問題が波紋を呼んでいる。Facebook創業者のマーク・ザッカーバーグ最高経営責任者（CEO）が米議会で追及され、SNSへの規制が議論される事態に発展している。問題の発端である個人情報の流出はなぜ、どのような仕組みで起きたのか。

↑

ID・パスワードを他アプリにも†

問題の発端は2013年に英ケンブリッジ大学の研究者が、Facebook上で使える性格診断クイズのアプリを開発したことにある。研究者は規約に従いユーザーの同意を得たとしたが、ルールを破って英調査会社のケンブリッジ・アナリティカにデータを横流ししていたことが発覚した。

https://www.nikkei.com/content/pic/20180412/96958A9F889DE0EBE0E4E6E0E5E2E3E3E2E6E0E2E3EA8AE3E3E2E2E2-DSXMZO2926424011042018X11001-PB1-3.jpg

アプリはFacebook会員の27万人がダウンロードしたとみられ、その友人もあわせると合計8700万人のデータが調査会社に渡ったとされる。このアプリが使っていたのが「自動ログイン」と呼ばれる機能だ。

ネット上のサービスを利用するには、IDとパスワードを入力し、利用者本人であることを証明する必要がある。IDとパスワードはサービスごとに変えるのが安全だが面倒だ。そこで、SNSにログインした情報を使って他のサービスにもログインする機能が「自動ログイン」だ。

自動ログインを利用すると、利用者はFacebookのIDとパスワードさえ覚えておけば別のサービスも利用できるようになる。利用者がFacebookのIDとパスワードを使ってログインすると、「アクセストークン」と呼ばれるデータがサービス運営者に渡る。運営側はこのデータを通じて、サービス提供に必要な情報をFacebookから取得する。

この手順自体はIT（情報技術）業界で標準化されているが、Facebookの場合は、アクセストークンを使って得られる情報が他のサービスよりも広範囲だった。

Facebookも無防備にすべての情報を渡しているわけではない。同社は自動ログインを利用するサービスがどんな情報を要求するかをログイン画面で表示している。ここで本来はサービスの利用に必要ないような情報まで要求されていないかを確認する必要があるが、大抵の利用者はよく確認せずに先に進んでしまうため気づかない。

https://www.nikkei.com/content/pic/20180412/96958A9F889DE0EBE0E4E6E0E5E2E3E3E2E6E0E2E3EA8AE3E3E2E2E2-DSXMZO2926422011042018X11001-PN1-3.jpg

性格診断アプリで個人情報を抜き取られたとされる27万人の利用者もこの画面を目にしていたはずだが、気づかず先に進むボタンを押してしまった。これが第1の落とし穴だ。

↑

気づかない「編集する」ボタン†

第2の落とし穴は、このログイン画面に「編集する」というボタンがあることに、大抵の利用者が気づいていないことだ。このボタンを押すと、アプリがどんな情報を取得しようとしていて、それを許可するかどうかを利用者自身が決められる画面に移れるが、大半の利用者がこれに気づかずに素通りした。

被害に遭わないためにはどうしたらいいのか。情報セキュリティー会社ラックの賀川亮JSOCセンター長は「外部と連携するアプリには情報を取得する際に確認画面が出るが、必要な情報ほど目に入りにくい傾向にあり、安易にボタンを押してしまう」という。

スマートフォン（スマホ）のアプリを利用する場合にも、個人情報の提供を求める場合は利用者の許諾を得るのがルールだ。画面が表示されたら、どんな情報を提供しようとしているのかを確認すべきだろう。

個人情報の流出を防ぐには「ネット上で日々扱っている情報が、本当に提供してよい情報なのか考え、承諾ボタンを押す前に一度立ち止まって考えるべきだ」とラックの賀川は指摘する。

Facebookは米国時間2018年4月4日に、利用者の情報をより保護するための対策を発表した。アプリ開発者がFacebookの承認なしで入手できる情報を制限。名前、プロフィルの写真、メールアドレスのみとし、その他の情報を入手するには事前の審査が必要とした。

https://www.nikkei.com/content/pic/20180412/96958A9F889DE0EBE0E4E6E0E5E2E3E3E2E6E0E2E3EA8AE3E3E2E2E2-DSXMZO2926429011042018000001-PN1-4.jpg

2018年4月10日の米上院の公聴会でザッカーバーグ氏は謝罪を繰り返した

2018年4月11日までに、Facebook上の性格診断アプリや類似のアプリは、ほぼ一掃されている。この対策により「個別のアプリの状況はお答えできないが、アプリ開発者が利用できるデータが制限されている」（Facebook日本法人）ためとみられる。Facebookは2018年4月10日にも、外部アプリによる個人情報の不正利用を発見した通報者に懸賞金を提供する制度を始めている。

↑