近頃起こったデータ漏洩についてFacebookからの回答が待たれる

今回は「近頃起こったデータ漏洩についてFacebookからの回答が待たれる」についてご紹介します。

関連ワード （EU、Facebook、GDPR、データ漏洩、プライバシー、ヨーロッパ、個人情報等） についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、TechCrunch様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

Facebookの欧州連合（EU）のデータ保護規制当局は、2021年4月第1週末に報告された大規模なデータ侵害について、この大手企業に回答を求めている。

この問題は、米国時間4月2日に Business Insiderが報じたもので、5億件以上のFacebookアカウントの個人情報（メールアドレスや携帯電話番号を含む）が低レベルのハッキングフォーラムに投稿され、数億人のFacebookユーザーのアカウントの個人情報が自由に利用できる状態になっていた。

ビジネスインサイダーによると「今回公開されたデータには、106カ国の5億3300万人以上のFacebookユーザーの個人情報が含まれており、その中には、米国のユーザーに関する3200万人以上の記録、英国のユーザーに関する1100万人以上の記録、インドのユーザーに関する600万人以上の記録が含まれる」。さらにその中には、電話番号、FacebookのID、氏名、所在地、生年月日、経歴、一部のメールアドレスなどが含まれていることを明らかにした。

Facebookは、データ漏洩の報告に対して、2019年8月に「発見して修正した」自社プラットフォームの脆弱性に関連するものだとし、その情報を2019年にも報告された「古いデータ」と呼ぶ。しかし、セキュリティ専門家がすぐに指摘したように、ほとんどの人は携帯電話の番号を頻繁に変更することはない。そのため、この侵害をそれほど重大でないものに見せようとするFacebookの反応は、責任逃れのための思慮の浅い試みのように思われる。

また、 Facebookの最初の回答が示しているように、すべてのデータが「古い」ものであるかどうかも明らかではない。

This is old data that was previously reported on in 2019. We found and fixed this issue in August 2019. https://t.co/mPCttLkjzE

— Liz Bourgeois (@Liz_Shepherd) April 3, 2021

Facebookがまたしても起こったこのデータスキャンダルを、それほど重大でないものに見せようとする理由は山ほどある。欧州連合のデータ保護規則では、重大なデータ漏洩を関連当局に速やかに報告しなかった企業に対して厳しい罰則が設けられていることもその理由の1つだ。また、欧州連合の一般データ保護規則（GDPR）では、設計上およびデフォルトでのセキュリティが期待されているため、違反自体にも厳しい罰則が課せられる。

Facebookは、流出したデータが「古い」という主張を推し進めることで、それがGDPRの適用開始（2018年5月）よりも前であるという考えを宣伝したいのかもしれない。

しかし、欧州連合におけるFacebookの主なデータ監督機関であるアイルランドのデータ保護委員会（DPC）は、TechCrunchに対し、現時点ではそれが本当に古いと言えるのかどうかは十分に明らかではないと述べる。

DPCのGraham Doyle（グラハム・ドイル）副委員長は「新たに公開されたデータセットは、オリジナルの2018年（GDPR以前）のデータセットと、それより後の時期のものと思われるデータ接セットで構成されているようだ」との声明を出している。

ドイル氏はまた「情報が公開されたユーザーの多くはEUユーザーだ。データの多くは、Facebookの公開プロフィールからしばらく前に取得されたデータのようだ」とも述べている。

「以前のデータセットは2019年と2018年に公開されたが、これはFacebookのウェブサイトの大規模なスクレイピングに関連するものだ（当時Facebookは、Facebookが電話検索機能の脆弱性を閉鎖した2017年6月から2018年4月の間にこれが発生したと報告していた）。このスクレイピングはGDPR発効以前に行われたため、FacebookはこれをGDPRに基づく個人データ侵害として通知しないことに決めたのだ」。

ドイル氏によると、規制当局は週末にFacebookから情報漏洩に関する「すべての事実」を取得しようとしており、現在もそれは「続いている」。つまり、Facebookが情報漏洩自体を「古い」と主張しているにもかかわらず、この問題については現在も明らかになっていないということだ。

GDPRでは、重要なデータ保護問題について規制当局に積極的に知らせる義務が企業に課せられているにもかかわらず、この問題についてFacebookから積極的な連絡がなかったことがDPCによって明らかになった。それどころか、規制当局がFacebookに働きかけ、さまざまなチャネルを使って回答を得なければならなかった。

こうした働きかけによりDPCは、Facebookとしては、情報のスクレイピングは、Cambridge Analyticaのデータ不正利用スキャンダルを受けて確認された脆弱性を考慮して2018年と2019年にプラットフォームに加えた変更の前に発生したと考えていることが分かったと述べている。

2019年9月、オンライン上で、Facebookの電話番号の膨大なデータベースが保護されていない状態で発見された。

関連記事：Facebookユーザーの電話番号が掲載された大量データベースが流出

また、Facebookは以前、自社が提供する検索ツールに脆弱性があることを認めていた。2018年4月には、電話番号やメールアドレスを入力することでユーザーを調べられる機能を介して、10億から20億人のFacebookユーザーの公開情報が抽出されていたことを明らかにしているが、これが個人情報の貯蔵庫となっている可能性もある。

Facebookは2020年、国際的なデータスクレイピングに関与したとして、2社を提訴している。

関連記事：Facebookがデータスクレイピングを実行する2社を提訴

しかし、セキュリティ設計の不備による影響は「修正」から数年経った今でもFacebookの悩みの種となっている。

さらに重要なのは、大規模な個人情報の流出による影響は、インターネット上で今や自分の情報が公然とダウンロードにさらされるようになったFacebookユーザーにも及んでおり、スパムやフィッシング攻撃、その他の形態のソーシャルエンジニアリング（個人情報の窃盗を試みるものなど）のリスクにさらされていることだ。

この「古い」Facebookデータが、ハッカーフォーラムで無料で公開されるに至った経緯については、謎に包まれている部分が多い。

DPCは、Facebookから「問題となっているデータは、第三者によって照合されたものであり、複数のソースから得られたものである可能性がある」との説明を受けたと述べている。

Facebookはまた「十分な信頼性をもってその出所を特定し、貴局および当社のユーザーに追加情報を提供するには、広範な調査が必要である」と主張しているが、これは遠回しに、Facebookにも出所の見当がつかないということを示唆している。

「Facebookは、DPCに対し、確実な回答の提供に鋭意努めることを保証している」とドイル氏は述べている。ハッカーサイトで公開された記録の中には、ユーザーの電話番号やメールアドレスが含まれているものもある。

「ユーザーには、マーケティングを目的としたスパムメールが送られてくる可能性がある。また電話番号やメールアドレスを使った認証が必要なサービスを自ら利用している場合も、第三者がアクセスを試みる危険性があるため注意が必要だ」

「DPCは、Facebookから報告を受け次第、さらなる事実を公表する」と彼は付け加えた。

本稿執筆時点で、Facebookにこの違反行為についてのコメントを求めたが、同社はこれに応じなかった。

自分の情報が公表されていないか心配なFacebookユーザーは、データ漏洩について助言を行うサイト「haveibeenpwned」で、自分の電話番号やメールアドレスを検索することができる。

haveibeenpwnedのTroy Hunt（トロイ・ハント）氏によると、今回のFacebookのデータ漏洩には、メールアドレスよりも携帯電話番号の方がはるかに多く含まれている。

彼によると、数週間前にデータが送られてきた。最初に3億7000万件の記録が送られてきたが、その後「現在、非常に広く流通しているより大規模なデータ」が送られてきたという。

「多くは同じものですが、同時に多くが異なってもいます」とハント氏は述べ、次のように付け加えた。「このデータには1つとして明確なソースはありません」。

【更新1】Facebookは今回のデータ流出についてブログ記事を公開し、問題のデータは2019年9月以前に「悪意のある者」が連絡先インポート機能を使ってユーザーのFacebookプロフィールからスクレイピングしたものと考えていることを明らかにした。またその際、ツールに修正を行い、大量の電話番号をアップロードしてプロフィールに一致する番号を見つける機能をブロックすることで悪用を防ぐ変更を施している。

「修正前の機能では、（Facebookの連絡先インポートツールのユーザーは）利用者プロフィールを照合し、公開プロフィールに含まれる一定の情報のみは取得することができました」とFacebookは説明し、これらの情報には利用者の金融情報や医療情報、パスワードは含まれていないと付け加えた。

ただし、悪意のある者がツールを転用することでどのようなデータを取得できたかについて、あるいは当該行為者を特定し、訴追しようとしたかどうかという点については明記されていない。

その代わりに同社の広報は、そのような行為は同社の規約に違反しているとし「このデータセットの削除に取り組んでいる」ことを強調した。同社はまた「機能を悪用する人々を可能な限り積極的に追跡していきます」と述べているが、ここでも悪用者を特定して確実に排除した実例は示していない。

（例えば、Facebookが2018年にCambridge Analyticaのスキャンダルを受けて実施すると述べたアプリ内部監査の最終報告書はどこにあるのだろうか。英国のデータ保護規制当局は最近、Facebookとの法的取り決めにより、アプリ監査について公の場で議論することはできないと述べている。つまりFacebookは、自社ツールの不正使用にどう取り組むかについての透明性を回避することに関しては、積極的なアプローチをとっているようだ……）

「過去のデータセットの再流通や新たなデータセットの出現を完全に防ぐことは困難ではありますが、専任チームを設け、今後もこの課題に対して注力してまいります」とFacebookは広報の中で述べており、ユーザーのデータが同社のサービス上で安全であることを一切保証していない。

同社はユーザーに対し、アカウントに提供しているプライバシー設定をチェックすることを推奨している。その設定には、同社のサービス上で他人があなたを検索する方法を制御する機能も含まれている。これではデータセキュリティの責任はFacebook自身ではなくFacebookユーザーの手中にあると言っているようなもので、Facebookデータ漏洩の事実から逸脱し、責任転換をしようとしているだけである。

もちろん、実際はユーザー次第ではない。FacebookユーザーがFacebookから提供されるのはデータの部分的なコントロールだけであり、Facebookの設計と仕組み（プライバシーに配慮したデフォルト設定を含む）が全面的に関与するものだ。

さらに、少なくとも欧州では、製品の設計にセキュリティを組み込む法的責任がある。個人データに対して適切なレベルの保護を提供できない場合、大きな規制上の制裁を受ける可能性があるが、企業は依然としてGDPRの施行上のボトルネックから恩恵を享受している。

Facebookの広報はまた、ユーザーが二段階認証を有効にしてアカウントのセキュリティを向上させることを提案している。

それは確かに名案だが、二段階認証に関しては、Facebookが二段階認証用のセキュリティキーとサードパーティ認証アプリのサポートを提供していることは注目に値する。つまり、Facebookに携帯番号を与えるリスクを冒すことなく、この付加的なセキュリティ層を追加することができる。ユーザーの電話番号を大量にリークしていた過去もあり、ターゲティング広告に二段階認証の数字を使うことも認めているため、Facebookに自分の電話番号を託すべきではないといえるだろう。

【更新2】Facebookは追加の背景説明で、規制当局との通信内容についてはコメントしないことを明らかにした。

同社はまた、侵害についてユーザーに個別に通知する計画はないと述べ、さらに、データが取得された方法（スクレイピング）の性質上、通知が必要なユーザーを完全に特定することはできないとしている。

画像クレジット：Jakub Porzycki/NurPhoto / Getty Images

【原文】

Facebook’s lead data protection regulator in the European Union is seeking answers from the tech giant over a major data breach reported over the weekend.

The breach was reported by Business Insider on Saturday, which said personal data (including email addresses and mobile phone numbers) of more than 500 million Facebook accounts had been posted to a low-level hacking forum — making the personal information on hundreds of millions of Facebook users’ accounts freely available.

“The exposed data includes the personal information of over 533M Facebook users from 106 countries, including over 32M records on users in the US, 11M on users in the UK, and 6M on users in India,” Business Insider said, noting that the dump includes phone numbers, Facebook IDs, full names, locations, birthdates, bios and some email addresses.

Facebook responded to the report of the data dump by saying it related to a vulnerability in its platform it had “found and fixed” in August 2019 — dubbing the info “old data” which it also claimed had been reported in 2019. However as security experts were quick to point out, most people don’t change their mobile phone number often — so Facebook’s trigger reaction to downplay the breach looks like an ill-thought-through attempt to deflect blame.

It’s also not clear whether all the data is all “old”, as Facebook’s initial response suggests.

There’s plenty of reasons for Facebook to try to downplay yet another data scandal. Not least because, under European Union data protection rules, there are stiff penalties for companies that fail to promptly report significant breaches to relevant authorities. And indeed for breaches themselves — as the bloc’s General Data Protection Regulation (GDPR) bakes in an expectation of security by design and default.

By pushing the claim that the leaked data is “old” Facebook may be hoping to peddle the idea that it predates the GDPR coming into application (in May 2018).

However, the Irish Data Protection Commission (DPC), Facebook’s lead data supervisor in the EU, told TechCrunch that it’s not abundantly clear whether that’s the case at this point.

“The newly published dataset seems to comprise the original 2018 (pre-GDPR) dataset and combined with additional records, which may be from a later period,” the DPC’s deputy commissioner, Graham Doyle said in a statement.

“A significant number of the users are EU users. Much of the data appears to been data scraped some time ago from Facebook public profiles,” he also said.

“Previous datasets were published in 2019 and 2018 relating to a large-scale scraping of the Facebook website which at the time Facebook advised occurred between June 2017 and April 2018 when Facebook closed off a vulnerability in its phone lookup functionality. Because the scraping took place prior to GDPR, Facebook chose not to notify this as a personal data breach under GDPR.”

Doyle said the regulator sought to establish “the full facts” about the breach from Facebook over the weekend and is “continuing to do so” — making it clear that there’s an ongoing lack of clarity on the issue, despite the breach itself being claimed as “old” by Facebook.

The DPC also made it clear that it did not receive any proactive communication from Facebook on the issue — despite the GDPR putting the onus on companies to proactively inform regulators about significant data protection issues. Rather, the regulator had to approach Facebook — using a number of channels to try to obtain answers from the tech giant.

Through this approach the DPC said it learnt Facebook believes the information was scraped prior to the changes it made to its platform in 2018 and 2019 in light of vulnerabilities identified in the wake of the Cambridge Analytica data misuse scandal.

A huge database of Facebook phone numbers was found unprotected online back in September 2019.

Facebook had also earlier admitted to a vulnerability with a search tool it offered — revealing in April 2018 that somewhere between 1 billion and 2 billion users had had their public Facebook information scraped via a feature which allowed people to look up users by inputting a phone number or email — which is one potential source for the cache of personal data.

Last year Facebook also filed a lawsuit against two companies it accused of engaging in an international data scraping operation.

But the fallout from its poor security design choices continue to dog Facebook years after its ‘fix’.

More importantly, the fallout from the massive personal data spill continues to affect Facebook users whose information is now being openly offered for download on the internet — opening them up to the risk of spam and phishing attacks and other forms of social engineering (such as for attempted identity theft).

There are still more questions than there are answers about how this “old” cache of Facebook data came to be published online for free on a hacker forum.

The DPC said it was told by Facebook that “the data at issue appears to have been collated by third parties and potentially stems from multiple sources”.

The company also claimed the matter “requires extensive investigation to establish its provenance with a level of confidence sufficient to provide your Office and our users with additional information” — which is a long way of suggesting that Facebook has no idea either.

“Facebook assures the DPC it is giving highest priority to providing firm answers to the DPC,” Doyle also said. “A percentage of the records released on the hacker website contain phone numbers and email address of users.

“Risks arise for users who may be spammed for marketing purposes but equally users need to be vigilant in relation to any services they use that require authentication using a person’s phone number or email address in case third parties are attempting to gain access.”

“The DPC will communicate further facts as it receives information from Facebook,” he added.

At the time of writing Facebook had not responded to a request for comment about the breach.

Facebook users who are concerned whether their information is in the dump can run a search for their phone number or email address via the data breach advice site, haveibeenpwned.

According to haveibeenpwned’s Troy Hunt, this latest Facebook data dump contains far more mobile phone numbers than email addresses.

He writes that he was sent the data a few weeks ago — initially getting 370 million records and later “the larger corpus which is now in very broad circulation”.

“A lot of it is the same, but a lot of it is also different,” Hunt also notes, adding: “There is not one clear source of this data.”

Update: Facebook has now published a blog post with some additional details about the breach in which it writes that it believes the data in question was scraped from people’s Facebook profiles by “malicious actors” using a contact importer feature prior to September 2019 — before it made changes to the tool intended to prevent abuse by blocking the ability to upload a large set of phone numbers to find ones that matched profiles.

“Through the previous functionality, [users of Facebook’s contact importer tool] were able to query a set of user profiles and obtain a limited set of information about those users included in their public profiles,” Facebook writes, adding that the information obtained did not include financial information, health information or passwords.

However it does not specify what data could have been obtained by these malicious actors repurposing its tools. Or whether it has identified and sought to prosecute the actors in question.

Instead its PR segues into stating that such action is against its terms — as well as claiming it is “working to get this data set taken down”. It also says it will “continue to aggressively go after malicious actors who misuse our tools wherever possible” — again without offering any examples of instances where it has successfully identified and definitively barred an abuser from its service.

(Where, for instance, is the final report of an internal app audit that Facebook said it would carry out after the Cambridge Analytica scandal back in 2018? The UK’s data protection regulator said recently that a legal deal it has with Facebook prevents it from discussing the app audit in public. So Facebook certainly appears to have an aggressive approach when it comes to avoiding transparency on how it tackles misuse of its tools… )

“While we can’t always prevent data sets like these from recirculating or new ones from appearing, we have a dedicated team focused on this work,” Facebook adds in the PR, offering no guarantees to users that their data is safe with its service.

Instead it recommends users check the privacy settings it offers for accounts, including those which provide some controls over how others can find you on its service — a line which seeks to deflect from the latest Facebook data breach revelation via some suggestive blame-shifting; i.e. by implying that responsibility for data security is in the hands of Facebook users, rather than Facebook itself.

Of course that’s not the case. Not least because Facebook users are only offered partial controls over their data by Facebook, and entirely of Facebook’s design and devising (including setting privacy-hostile defaults).

Moreover, in Europe at least, the company has a legal responsibility to bake security into the design of its products. Failure to offer an adequate level of protection for personal data can attract major regulatory sanction — although the company continues to benefit from a GDPR enforcement bottleneck.

Facebook’s PR also suggests users enable two-factor authentication to improve account security.

That’s certainly a good idea but o n the 2FA front it’s worth noting that Facebook does now offer support for security key and third-party authentication apps for 2FA — meaning you can add this extra layer of security without risking giving Facebook your mobile number. And since the service has demonstrably leaked users’ phone numbers at vast scale — while the business has also admitted to using 2FA digits for ad targeting — you really shouldn’t trust Facebook with your phone number.

Update 2: In additional background remarks Facebook said it will not be commenting on how it communicates with regulators.

It also said it has no plans to notify users individually about the breach — further specifying that owing to how the data was obtained (scraping) it cannot be entirely sure who would need to be notified.   

（文：Natasha Lomas、翻訳：Dragonfly）

Facebook - Log In or Sign Up

Facebookアカウントを作成するか、ログインしてください。友達や家族と写真や動画、近況をシェアしたり、メッセージをやり取りしましょう。 ... Facebookを使うと、友達や同僚、同級生、仲間たちとつながりを深められます。ケータイ ...

国内唯一のFacebook公認ナビゲーションサイト - Facebook …

Facebook naviは、エリア別の人気Facebookページや生活に役立つコラムなど「知りたい・面白い・役に立つ」情報をお届けする世界初の公認ナビゲーションサイトです。写真のタグ付けやプライバシー設定の方法をはじめとしたFacebookの使い方も分かりやすくお伝えします。

Facebook - Apps on Google Play

Keeping up with friends is faster and easier than ever. Share updates and photos, engage with friends and Pages, and stay connected to communities important to you. Features on the Facebook app include: * Connect with friends and family and meet new people on your social media network * Set status updates & use Facebook emoji to help relay what’s going on in your world * Share photos, videos, and your favorite memories. * Get notifications when friends like and comment on your posts * Find local social events, and make plans to meet up with friends * Play games with any of your Facebook friends * Backup photos by saving them in albums * Follow your favorite artists, websites, and companies to get their latest news * Look up local businesses to see reviews, operation hours, and pictures * Buy and sell locally on Facebook Marketplace * Watch live videos on the go The Facebook app does more than help you stay connected with your friends and interests. It's also your personal organizer for storing, saving and sharing photos. It's easy to share photos straight from your Android camera, and you have full control over your photos and privacy settings. You can choose when to keep individual photos private or even set up a secret photo album to control who sees it. Facebook also helps you keep up with the latest news and current events around the world. Subscribe to your favorite celebrities, brands, news sources, artists, or sports teams to follow their newsfeeds, watch live streaming videos and be caught up on the latest happenings no matter where you are! The most important desktop features of Facebook are also available on the app, such as writing on timelines, liking photos, browsing for people, and editing your profile and groups. Now you can get early access to the next version of Facebook for Android by becoming a beta tester. Learn how to sign up, give feedback and leave the program in our Help Center: http://on.fb.me/133NwuP Sign up directly here: http://play.google.com/apps/testing/com.facebook.katana Problems downloading or installing the app? See http://bit.ly/GPDownload1 Still need help? Please tell us more about the issue. http://bit.ly/invalidpackage Facebook is only available for users age 13 and over. Terms of Service: http://m.facebook.com/terms.php.

facebook（フェイスブック）が2時間でマスターできる本 (PHP …

 · ) Facebook にだって悪口(正当な批判でなく)を書く人がいないとは言えない。もう少し紹介のしかたを考えて、「世界中の人たちとの交流のすばらしさ」「世界に情報発信ができる・同じ希望を持つ人たちと情報を共有できる」と言ってくれれば

FB:NASDAQ GS 株価 - ﾌｪｲｽﾌﾞｯｸ - Bloomberg Markets

ﾌｪｲｽﾌﾞｯｸ (FB:NASDAQ GS) の株価、株式情報、チャート、関連ニュースなど、企業概要や株価の分析をご覧いただけます。

【担当者保存版】Facebook(フェイスブック)の乗っ取りは思っ …

ここ最近、Facebookアカウントの乗っ取りに関する話題が多く見られます。調査していくと、乗っ取り対象のメールアドレスと複数のスパムアカウントがあれば簡単に乗っ取りが出来てしまいそうだという事がわかりました。今回はその乗っ取りの手口と防御策をご紹介します。乗っ取りのロジックを知り対策さえ取っておけば確実に防げます！

Facebook・TwitterのOGP設定方法まとめ｜ferret

WEB担当者の皆様、運営しているホームページにOGP設定をおこなっていますか？OGPはSNSでの拡散を通じて多くの人に記事をみてもらうためには必須の設定といえます。