電話番号を使ったFacebookの2要素認証に、2つの問題があることが指摘されている。
第1に、ハッカーから自分のアカウントを守るためにFacebookに提供したはずの電話番号が、セキュリティ以外の目的にも使われていることだ。Emojipediaの創設者であるJeremy Burge氏は米国時間3月1日付けの一連のツイートで、その電話番号からユーザーのプロフィールを検索できること、また、その設定をユーザーはオプトアウトできないことを示した。
電話番号でプロフィールを検索できないようにしたとFacebookが述べたのは、ほぼ1年前のことだ。また、約5カ月前にはGizmodoが、2要素認証に使われている電話番号が、ターゲティング広告のために広告主らにも提供されていることを発見している。
第2に、2要素認証に電話番号を使用すると、ハッキングされやすくなることだ。
ユーザーの電話番号がターゲティング広告や検索と結び付けられることにより、セキュリティとプライバシーが危険にさらされる。そうなるとユーザーは、アカウントを乗っ取りから保護するための重要な機能を使いたくないと考える可能性がある。
「自分のセキュリティを守るために何かをしようとするときに、使用するツールが信用できないと感じたならば、ユーザーはセキュリティを守ることを諦めてしまう」と、ブロックチェーン専門企業Tendermintでセキュリティを統括するJessy Irwin氏は述べた。「アカウントのセキュリティを高めることが目的なのであれば特に、一部の要素を神聖なものとして扱う必要がある」(Irwin氏)
Facebookの元最高情報セキュリティ責任者であるAlex Stamos氏も、この慣行を批判した。
「Facebookは、リスクの高いアカウントに対して信頼できる形で2要素認証を求めるには、それを検索や広告とは切り離さなければならない」と、Stamos氏は2日付けのツイートで述べた。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」