5億4000万件以上のFacebookのユーザー記録、AWSのサーバで公開状態に

Alfred Ng (CNET News) 翻訳校正: 編集部2019年04月04日 08時31分

 5億4000万件以上の記録を含むFacebookのデータが、オンラインに公開されたデータベースに保管されていた。UpGuardのセキュリティ研究者らが米国時間4月3日に明らかにした。

 データには、ユーザーのコメント、いいね、名前、Facebook IDなど、広範囲にわたる情報が含まれていた。データは、Facebook上の2つのサードパーティーアプリが収集したものだった。

 「Facebookのポリシーでは、Facebook情報を公開されたデータベースに保管することを禁止している。指摘を受けて、Amazonと協力し、データベースを閉鎖した。当社プラットフォーム上の開発者らと連携し、ユーザーデータの保護に努めるつもりだ」とFacebookの広報担当者は声明で述べた。

 3日に明らかになったこの件において、問題のデータベースは何の保護も施されないまま、Amazonのクラウドサーバには配置されていた。データベースは、Cultura Colectivaというメキシコの企業と、「At the Pool」というアプリのものだった。

 UpGuardは1月にCultura Colectivaに通知したが、これまで回答を得られていないという。同社のセキュリティ研究者らはAmazonにも連絡を取り、データベースを保護するように求めたが、Amazonは有効な措置を講じなかったと、UpGuardは述べる。問題のデータベースは、この問題を最初に報じたBloombergがFacebookに通知した3日午前まで、保護されていない状態だった

 Amazonにコメントを求めたが、回答は得られなかった。

 Facebookは、この1カ月間だけでも複数のセキュリティ問題が発覚している。Facebookは先ごろ、数億件ものパスワードがFacebookの社内サーバ上で読み取れる状態になっていたことを発表したばかりだ。また、新規アカウントの登録時に個人用電子メールのパスワードを同社が要求していたことも明らかになり、廃止されたばかりだ。

 2018年に発覚したCambridge Analyticaのスキャンダルで示されたように、サードパーティーアプリは引き続き、Facebookにとってセキュリティ上の懸念となっている。

 公開されていたAt the Poolアプリのデータベースには、写真、イベント、パスワードなどのデータが含まれていたが、UpGuardによると、保存されていたパスワードは同アプリのもので、Facebookアカウントのパスワードではないようだという。それでも、複数のアプリでパスワードを使い回すユーザーも珍しくない中、2万2000件のパスワードがプレーンテキストで保管されていた。

 UpGuardが発見する前に、悪意ある者がこの公開データベースにアクセスしたかどうかは不明だ。

 At the Poolを提供していた企業は2014年に廃業しているが、データベースはオンライン上に公開されたままになっていた。

 146Gバイトものデータは、サードパーティー開発者によるデータ収集について、Facebookが今よりも寛容だった時期に集められたものである。

 「Facebookは、データ共有に非常に寛大であった時期があった」とUpGuardの製品担当バイスプレジデントGreg Pollock氏は述べる。「今はそうではないが、Facebookが開発者と共有したたくさんのデータは今もどこかに残っているし、その後どのように扱われているかは分からない」(Pollock氏)

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

CNET Japanの記事を毎朝メールでまとめ読み(無料)

-PR-企画特集

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]