Facebook史上最悪の1年を振り返る--偽ニュース、情報漏えい、幹部の対応 - (page 2)

データの侵害、バグ、悪用

Cambridge Analytica

　スキャンダルの始まりは、Cambridge Analyticaだった。3月、NYT、The Guardian、Observerの共同調査で、ドナルド・トランプ大統領候補の選挙運動に関わる英コンサルティング会社Cambridge Analyticaが、20億人以上のユーザーを擁するFacebookの数千万人分のデータを不正流用したことが明らかになった。

　このデータの出どころは、ケンブリッジ大学のAleksandr Kogan教授とみられる。Kogan氏は、「心理学者が研究で使う」目的で「thisisyourdigitallife」というクイズアプリを作成した。同氏は、「Facebookログイン」機能を通じて27万人のアカウントの情報にアクセスした。Facebookログインは、新しいアプリにログインする際にFacebookのアカウントを使うことにより、新たなユーザー名とパスワードを作らずに済む機能だ。Facebookログインによるデータ収集はFacebookが認めている行為だが、同氏は入手したデータをCambridge Analyticaと共有することで、Facebookの利用規約に違反した。

　この調査報告は、Facebookによるユーザーの個人情報の扱い方についての炎上を招いた。さらに悪いことには、Zuckerberg氏と最高執行責任者（COO）のSheryl Sandberg氏はこのスキャンダル発覚後、数日間沈黙していた。最終的に、Facebookは問題の規模が当初発表したよりも大きかったことを認めた。影響を受けたアカウントは当初5000万人と報じられたが、その後8700万人に修正された。Facebookはその後、影響を受けたかどうかをユーザーが確認できるツールを作成した。

Facebookは2018年を通して、データプライバシーとセキュリティに関する数々のスキャンダルに見舞われた
提供：Getty Images

「View as」の脆弱性によるデータ漏えい

　それだけでは不十分であるかのように、Facebookは9月、5000万人に影響するデータ漏えいがあったことを発表した。原因は、Facebookの「View as」機能の脆弱性にあった。View asは、自分のプロフィールが他のユーザーからはどう見えるかを確認する機能だ。攻撃者は、この機能に関連するコードを悪用し、ユーザーのアカウントを乗っ取ることができる「アクセストークン」を盗んだ。アクセストークンはパスワードではないが、これがあればパスワードなしでアカウントにログインできる。

　2週間後、Facebookはこの問題について、氏名、メールアドレス、電話番号を含む2900万人のデータが盗まれたと発表した。そのうちの1400万人は、生年月日、住所、職場、Facebookでの最近の検索や「チェックイン」した場所も盗まれた。

　Facebookはその後、このセキュリティ侵害の背後にいるのは国家に雇われたハッカーではなく、デジタルマーケティング企業を装ったスパマーだと認識していると述べた。

開発者にユーザーの写真が見えてしまうバグ

　12月14日、Facebookはまた別のデータ漏えいがあったことを明らかにした。バグにより、680万人の写真データが外部開発者にさらされたのだ。ユーザーがFacebookにアップロードした写真が、投稿していなくても開発者から見える状態になっていた。

外部とのデータ共有

　Facebookのトラブルは、これで終わりではなかった。NYTが12月18日に、Facebookがいかに多くのユーザーデータをパートナー企業に提供していたかを報じた。Netflix、Spotify、Royal Bank of Canadaは、ユーザーのプライベートメッセージを読めるようになっていたとNYTは伝えた。Microsoftは、Facebookユーザーのすべての友達の名前をユーザーの同意なしに見ることができたという。そして、AmazonはFacebookユーザーの友達経由でユーザーの氏名と連絡先情報を入手できたとしている。

　リストはまだ続く。NYTによると、米YahooはFacebookユーザーの友達の投稿をリアルタイムで閲覧でき、Appleは、ユーザーがアカウントの設定ですべてのデータ共有を無効にしていても、カレンダーへの入力と連絡先情報にアクセスできたという。NYT自身も、2011年に終了した記事共有アプリの機能で、Facebookユーザーの友達リストにアクセスできた。

　150社以上が恩恵を受けていたこの取引は、2010年に始まり、2017年まで有効だった。

　Facebookは、ユーザーのデータを守るという2010年の米連邦取引委員会（FTC）との和解条件に違反しているようだ。この和解条件は、Facebookがユーザーの同意なしにユーザーのデータをサードパーティーと共有することを禁じている。Facebookは、データ共有に関するこうした提携は和解条件に当てはまらないと主張しているが、FTCおよび当局はNYTに対し、Facebookの解釈に同意しないと語った。