2018年3月、Facebookの利用者の個人情報が不正に流出したことが発覚。被害者は約8700万人で、うち約10万人が日本人だという(図1)。

Facebookで約8700万人の個人情報が流出
図1 2018年3月に発覚したFacebookの個人情報流出事件。約8700万人分の個人情報が流出したとされ、最高経営責任者(CEO)が謝罪する事態にまでなっている
[画像のクリックで拡大表示]

 事の発端は、英ケンブリッジ大の研究者が2014年に公開した心理テストのFacebookアプリ。研究目的として約27万人の個人情報の提供を受け、その際に友達の個人情報も収集した(図2)。利用条件として本人とその友達のデータの提供を明示していた。その後になって入手した個人情報を利用者に無断で米国のデータ解析企業に販売したことが、不正に大量の個人情報を流出させたとして社会的な問題となった。

本人だけでなく友達の個人情報も渡った
図2 Facebook向けの診断アプリを提供する業者が、アカウント連携によって利用者本人だけでなく、その友達も含む個人情報を得ていた
[画像のクリックで拡大表示]

 こうした個人情報の収集を目的としたFacebookアプリは、今回の事件が初めてではない。Facebookアプリには、インストール時にそのアプリがプロフィールやメールアドレスといった個人情報にアクセスする権限を要求して、利用者が認証する仕組みがある。2014年以前は、必ずプロフィールの情報を提供する仕様になっていた。

情報流出の拡大に拍車

 iOS向けアプリやAndroid向けアプリにも同様の仕組みが存在する。ただ、Facebookアプリの場合、「他の人が使用しているアプリ」という設定があり、初期設定のままだと本人が権限を認証すれば、友達としてつながっている利用者の個人情報も自動的に渡ってしまっていた。本人の知らない間に個人情報が渡される危険性が常にあったのだ。4月上旬時点では、該当の設定は削除され、友達の個人情報の提供を勝手にできないようになっている(図3)。

被害拡大の原因となった設定は削除済み
図3 大量の個人情報流出につながった原因は、他人がインストールしたアプリでも、友達として登録されていれば、個人情報の提供が可能だったこと。4月上旬時点では該当の設定が削除されていた
[画像のクリックで拡大表示]

 今回の騒動を受けてFacebookは、2014年以前のアプリを調査して不正の疑いがあるアプリは排除すること、利用者が3カ月以上使用していないアプリは個人情報のアクセス権限を停止することなどの対策を発表した。また、今回の事件で流出した個人情報の有無を調べるサイト(https://facebook.com/help/1873665312923476)も公開された。

 SNSの個人情報は大規模に狙われているだけではない。特定または不特定の個人も標的になる。2017年6月、IT企業の男性が、20代の女性が持つYahoo! JAPANのアカウントに不正アクセスし、プライベートな写真をのぞき見したとして逮捕された(図4)。女性がSNSに公開していた誕生日や名前などを基に、アカウントのパスワードを割り出していた。Facebookなど一般的なSNSでは、投稿内容やプロフィールを公開する範囲を設定できるが、被害を受けた女性は、正しく設定をしていなかったとみられる。第三者に個人情報を不正に渡さないようにするには、公開範囲の設定が不可欠だ。

古典的な手口で個人を狙う不正アクセスも
図4 2017年6月にIT企業の男性が、面識のない女性が利用していたメールサービス(Yahoo! JAPAN)に不正アクセスし、私的な写真を盗むなどの容疑で逮捕された。女性が利用するSNSで誕生日などを調べ上げ、メールサービスのパスワードを特定したという
[画像のクリックで拡大表示]

この先は日経クロステック Active会員の登録が必要です

日経クロステック Activeは、IT/製造/建設各分野にかかわる企業向け製品・サービスについて、選択や導入を支援する情報サイトです。製品・サービス情報、導入事例などのコンテンツを多数掲載しています。初めてご覧になる際には、会員登録(無料)をお願いいたします。