「自動ログイン」に注意　フェイスブック個人情報流出

交流サイト（SNS）「フェイスブック」から8700万人分の個人情報が流出した問題が波紋を呼んでいる。フェイスブック創業者のマーク・ザッカーバーグ最高経営責任者（CEO）が米議会で追及され、SNSへの規制が議論される事態に発展している。問題の発端である個人情報の流出はなぜ、どのような仕組みで起きたのか。

問題の発端は2013年に英ケンブリッジ大学の研究者が、フェイスブック上で使える性格診断クイズのアプリを開発したことにある。研究者は規約に従いユーザーの同意を得たとしたが、ルールを破って英調査会社のケンブリッジ・アナリティカにデータを横流ししていたことが発覚した。

アプリはフェイスブック会員の27万人がダウンロードしたとみられ、その友人もあわせると合計8700万人のデータが調査会社に渡ったとされる。このアプリが使っていたのが「自動ログイン（ソーシャルログイン）」と呼ばれる機能だ。

ネット上のサービスを利用するには、IDとパスワードを入力し、利用者本人であることを証明する必要がある。IDとパスワードはサービスごとに変えるのが安全だが面倒だ。そこで、SNSにログインした情報を使って他のサービスにもログインする機能が「自動ログイン」だ。

自動ログインを利用すると、利用者はフェイスブックのIDとパスワードさえ覚えておけば別のサービスも利用できるようになる。利用者がフェイスブックのIDとパスワードを使ってログインすると、「アクセストークン」と呼ばれるデータがサービス運営者に渡る。運営側はこのデータを通じて、サービス提供に必要な情報をフェイスブックから取得する。

この手順自体はIT（情報技術）業界で標準化されているが、フェイスブックの場合は、アクセストークンを使って得られる情報が他のサービスよりも広範囲だった。

フェイスブックも無防備にすべての情報を渡しているわけではない。同社は自動ログインを利用するサービスがどんな情報を要求するかをログイン画面で表示している。ここで本来はサービスの利用に必要ないような情報まで要求されていないかを確認する必要があるが、大抵の利用者はよく確認せずに先に進んでしまうため気づかない。

性格診断アプリで個人情報を抜き取られたとされる27万人の利用者もこの画面を目にしていたはずだが、気づかず先に進むボタンを押してしまった。これが第1の落とし穴だ。

第2の落とし穴は、このログイン画面に「編集する」というボタンがあることに、大抵の利用者が気づいていないことだ。このボタンを押すと、アプリがどんな情報を取得しようとしていて、それを許可するかどうかを利用者自身が決められる画面に移れるが、大半の利用者がこれに気づかずに素通りした。

被害に遭わないためにはどうしたらいいのか。情報セキュリティー会社ラックの賀川亮JSOCセンター長は「外部と連携するアプリには情報を取得する際に確認画面が出るが、必要な情報ほど目に入りにくい傾向にあり、安易にボタンを押してしまう」という。

スマートフォン（スマホ）のアプリを利用する場合にも、個人情報の提供を求める場合は利用者の許諾を得るのがルールだ。画面が表示されたら、どんな情報を提供しようとしているのかを確認すべきだろう。

個人情報の流出を防ぐには「ネット上で日々扱っている情報が、本当に提供してよい情報なのか考え、承諾ボタンを押す前に一度立ち止まって考えるべきだ」とラックの賀川氏は指摘する。

フェイスブックは米国時間4日に、利用者の情報をより保護するための対策を発表した。アプリ開発者がフェイスブックの承認なしで入手できる情報を制限。名前、プロフィルの写真、メールアドレスのみとし、その他の情報を入手するには事前の審査が必要とした。

11日までに、フェイスブック上の性格診断アプリや類似のアプリは、ほぼ一掃されている。この対策により「個別のアプリの状況はお答えできないが、アプリ開発者が利用できるデータが制限されている」（フェイスブック日本法人）ためとみられる。フェイスブックは10日にも、外部アプリによる個人情報の不正利用を発見した通報者に懸賞金を提供する制度を始めている。

ケンブリッジ大学の研究者から第三者である調査会社に情報が渡った経緯は依然不明だ。だが、一度抜き取られた個人情報はデータ化され様々な人の手に渡る。サイバー犯罪者が入手すれば迷惑メールやウイルスを送りつけられたり、なりすまし詐欺に使われたりするリスクは残る。

フェイスブックの情報管理に甘さがあったのは事実だが、情報提供に同意したのは個人情報を抜かれた利用者たちだ。どんな情報を提供することになるかを冷静に考えずに性格診断アプリを使った結果でもある。安易なクリックの先にある落とし穴の深さは計り知れない。

（北郷達郎、松元英樹）

［日経産業新聞　2018年4月12日付］