IT関連のレビューや調査を行うComparitechがセキュリティ研究者のBob Diachenko氏と協力して、2億6700万人以上のFacebookユーザーの電話番号や名前が、誰でもアクセス可能なオンライン上のデータベースで公開されていることを発見しました。記事作成時点ではすでにデータベースは削除されていますが、データはハッカーフォーラムにも流出しており、ComparitechはデータがSMSスパムやフィッシング詐欺に使われる危険性があると警鐘を鳴らしています。
ComparitechとDiachenko氏はオンライン上のセキュリティで保護されていないデータベースを探し、データ流出などの問題を報告する活動を行っています。2019年12月14日、Diachenko氏は大量のFacebookユーザーデータが、Elasticsearchデータベースとしてオンライン上で公開されていたことを発見しました。
今回発見されたデータベースには、合計で2億6714万436件のFacebookユーザーデータが保管されていたそうで、影響を受けたユーザーのほとんどはアメリカ在住の人物でした。また、それぞれの記録にはFacebookのアカウントID、電話番号、フルネームが含まれていたとのこと。Diachenko氏は今回のデータ流出は偶然によるものではなく、悪意のある人物が意図的に流出させた可能性が高いとみています。
Diachenko氏によると、データベースが公開されてから最終的に削除されるまではおよそ2週間ほどであり、以下のようなタイムラインでデータ流出からデータベース削除までが進行したとのこと。
・2019年12月4日:データベースが最初にインデックス化される。
・2019年12月12日:データがダウンロード可能な状態でハッカーフォーラムに投稿される。
・2019年12月14日:Diachenko氏がデータベースを発見し、サーバーのIPアドレスを管理するISPへ悪用レポートを即座に送信する。
・2019年12月19日:データベースが削除される。
通常、オンライン上でデータベースが公開されて個人情報が流出しているのを発見した場合は、まずデータベースの所有者に通知する手順を踏むのが一般的です。しかしDiachenko氏は今回のデータ流出が明らかに悪意を持った犯罪組織によるものだと考えたため、直接ISPへ連絡したと説明しています。
犯人がFacebookのアカウントIDおよび電話番号などを取得した方法は明らかではありませんが、2018年にFacebookが開発者向けFacebook APIから電話番号へのアクセスを制限する前に、サードパーティの開発者を装ってFacebook API経由で盗み出した可能性があります。また、Diachenko氏によるとFacebook APIから電話番号へのアクセスが制限された後も、犯罪者がより詳細な情報にアクセス可能なセキュリティホールが存在するかもしれないと指摘。
別の可能性として考えられるのは、Facebook上で公開されているプロフィールページから、ウェブスクレイピングを利用してデータが収集されたというもの。自動化されたbotがウェブページからデータをコピーするスクレイピングは、Facebookを含むほとんどのSNSの利用規約に違反しているものの、実際にスクレイピングを防ぐのは難しいとのこと。多くの人はFacebookのプロフィールを公開設定にしていますが、スクレイピングによる被害を抑えたい場合は、プロフィールの公開範囲を制限するなどの対策が必要です。
今回流出したデータベースに保存されていた電話番号や名前といった情報は、SMSを介したスパムやフィッシング詐欺などに使用される可能性があるとのことで、Facebookユーザーは疑わしいテキストメッセージに注意を払う必要があるとComparitechは警鐘を鳴らしています。送信者が名前を含む個人的な情報を知っていたとしても、流出した情報を基にさらに多くの個人情報を集めることが可能なため、安易に信頼するのは危険です。
なお、データベースにリンクされたウェルカムページとログインダッシュボードにベトナム語が含まれていたことから、今回の流出にかかわった犯人がベトナム人である可能性が高いとDiachenko氏は指摘しています。