Facebook からのキャンディを受け取りますか


By the Webroot Threat Team / ウェブルート脅威対策チーム

このキャンディには、ぞっとするような意図が潜んでいます。最新のバイラル Web サイトでは、普通の Facebook アプリケーションによってユーザーの情報をどの程度見つけ出すことができるのかを、ホラー映画のような形式で見せています。

Facebook 上で既に 170 万人から「いいね!」が付けられている TakeThisLollipop は、ソーシャル ネットワークのアプリケーション認証スキームを使用してユーザーの情報を見つけ出します。

サイトに表示されている棒付きキャンディをクリックすると、そのユーザーとして投稿する権限などのほかに、一連の個人情報にそのアプリケーションのアクセスを許可するかどうかを Facebook から聞かれます。これを受け入れると、アプリケーションの内容を見ることができます。それは、ユーザーの Facebook アカウントの写真、ウォールの投稿、友人の近況アップデートを見て、次第に不機嫌になり、正気を失う男性の様子を写したビデオです。

非常によくできています。そのビデオは、苛立った Facebook ストーカーがユーザーの居住地 (Facebook に居住地を登録したことは覚えていますよね) に向かって車を走らせ、殺気立った様子で車を降りるところで終わります。ダッシュボードには、インスタント カメラで撮ったユーザーのプロフィール写真が貼り付けられています。ぞっとしませんか。

さらに恐ろしいことは、ダイアログ ボックスの [許可する] ボタンをクリックすると、膨大な量の個人情報がこの Web サイトによって回収されてしまうという事実です。これ以外にアクセスを許可したサイトを覚えていますか。それらのアプリケーションにどれだけのユーザー情報が流出してしまったのでしょうか。

もっと重要な疑問があります。誰がこれらの Facebook アプリケーションを作成し、ユーザーに関する最も詳細な個人データや社会的データを回収しているのでしょうか。Facebook に実装されている Web サイトやアプリケーションは 700 万にも上り、その多くは、開発者が約束する動作を提供する前に、ユーザーのアカウント データへの特権的アクセスを要求します。ほとんどのユーザーは、提供した情報がどこに行ってしまうのかについて何の疑問も持たずに、これらのアプリケーションのアクセスを許可してしまいます。

Facebook の開発者になるのは非常に簡単です。Facebook は昨年、クレジット カード番号や携帯電話番号の提示などの、開発者を確認する基本的な手続きをいくつか導入しました。しかし、言うまでもなく、私たちは毎年大量のクレジット カードが盗まれていることを知っています。そして、毎週大量の携帯電話が盗まれている、または複製されていることも知っています。

もちろん、Facebook に正規の開発者はいっぱいいます。ウェブルートにも、ユーザーの Facebook アカウント情報の共有を要求するソーシャル メディア アプリケーション(英語版)がありますが、責任を持ってアプリケーションを開発しています。もちろん、ユーザーの情報の取り扱いについて明確に記したプライバシー ガイドラインがあります。しかし、すべての開発者が信頼できるわけではありません。

悪意のある開発者は、Facebook アカウントから取得した情報を好き勝手に扱ってしまう可能性があります。もっとも、悪意のない、まともな開発者でも、怠けていたり、きちんとしていなければ、プライバシー ガイドラインを順守していない可能性もあります。

さて、この秋、Facebook からの大量のお知らせが発行されていますが、気付いていない Facebook ユーザーは今よりもプライバシーが守られなくなってしまう可能性があります。Facebook では、Facebook アプリケーションがユーザーのページに情報を投稿するのに、その都度アプリケーションに対して権限を与えるのではなく、そのアプリケーションを承認する機会が一度しか与えられなくなります。また Facebook は、(次々と発生しているさまざまな訴訟問題については折り合いを付けられるものと仮定して) Facebook のプロフィール機能の概念を激変させるタイムライン機能を発表しました。

タイムライン機能を使用すると、Facebook ユーザーは 1 ページに全プロフィールの履歴を表示することができます。また、これを使用すると、ユーザーは自分が生まれた年に戻って、手動でイベントを入力したり、画像を追加したりできます。Facebook が行っていることは、実際のところ、ユーザーに自分の経歴を入力するように仕向けて、アプリケーション開発者がユーザーの経歴を掘り起すことで、何倍もの情報を得られるようにしていることに他なりません。

Fecebook で何らかの特権へのアクセスをサードパーティのアプリケーションにいったん許可してしまえば、そのアプリケーションは友人の情報も自動的に見られるようになります。このように、ユーザーのかなり詳細な情報までアクセスできるようになったことで、 Facebookは、セキュリティやプライバシーに関して言えば、かなり油断のならないものになっています。

Facebook は、他の Web サイトやアプリケーションとの統合を簡単にするという構想を進めています。Mark Zuckerberg は、F8 会議の基調講演で、「摩擦のない共有」の概念を強調して述べていました。しかし、TakeThisLollipop のようなアプリケーションが示すとおり、Facebook のデータと特権を他のアプリケーションと共有すると、ユーザーのみならず友人のデータまで大量に利用可能な状態になってしまう可能性があります。今こそ、承認する Facebook アプリケーションについて、そしてオンラインで共有する情報の選択について考え直してみるときです。

wordpress blog stats