セキュリティ

2億6700万人以上のFacebookユーザーの電話番号や名前がオンラインで流出、詐欺に使用される危険性も

by www.thoughtcatalog.com

IT関連のレビューや調査を行うComparitechがセキュリティ研究者のBob Diachenko氏と協力して、2億6700万人以上のFacebookユーザーの電話番号や名前が、誰でもアクセス可能なオンライン上のデータベースで公開されていることを発見しました。記事作成時点ではすでにデータベースは削除されていますが、データはハッカーフォーラムにも流出しており、ComparitechはデータがSMSスパムやフィッシング詐欺に使われる危険性があると警鐘を鳴らしています。

Report: 267 Million Phone Numbers & Facebook User IDs Exposed Online
https://www.comparitech.com/blog/information-security/267-million-phone-numbers-exposed-online/

Millions of Facebook user phone numbers exposed online, security researchers say - CNET
https://www.cnet.com/news/millions-of-facebook-user-phone-numbers-exposed-online-security-researchers-say/

ComparitechとDiachenko氏はオンライン上のセキュリティで保護されていないデータベースを探し、データ流出などの問題を報告する活動を行っています。2019年12月14日、Diachenko氏は大量のFacebookユーザーデータが、Elasticsearchデータベースとしてオンライン上で公開されていたことを発見しました。

今回発見されたデータベースには、合計で2億6714万436件のFacebookユーザーデータが保管されていたそうで、影響を受けたユーザーのほとんどはアメリカ在住の人物でした。また、それぞれの記録にはFacebookのアカウントID、電話番号、フルネームが含まれていたとのこと。Diachenko氏は今回のデータ流出は偶然によるものではなく、悪意のある人物が意図的に流出させた可能性が高いとみています。

by madartzgraphics

Diachenko氏によると、データベースが公開されてから最終的に削除されるまではおよそ2週間ほどであり、以下のようなタイムラインでデータ流出からデータベース削除までが進行したとのこと。

・2019年12月4日:データベースが最初にインデックス化される。
・2019年12月12日:データがダウンロード可能な状態でハッカーフォーラムに投稿される。
・2019年12月14日:Diachenko氏がデータベースを発見し、サーバーのIPアドレスを管理するISPへ悪用レポートを即座に送信する。
・2019年12月19日:データベースが削除される。

通常、オンライン上でデータベースが公開されて個人情報が流出しているのを発見した場合は、まずデータベースの所有者に通知する手順を踏むのが一般的です。しかしDiachenko氏は今回のデータ流出が明らかに悪意を持った犯罪組織によるものだと考えたため、直接ISPへ連絡したと説明しています。

by iAmMrRob

犯人がFacebookのアカウントIDおよび電話番号などを取得した方法は明らかではありませんが、2018年にFacebookが開発者向けFacebook APIから電話番号へのアクセスを制限する前に、サードパーティの開発者を装ってFacebook API経由で盗み出した可能性があります。また、Diachenko氏によるとFacebook APIから電話番号へのアクセスが制限された後も、犯罪者がより詳細な情報にアクセス可能なセキュリティホールが存在するかもしれないと指摘。

別の可能性として考えられるのは、Facebook上で公開されているプロフィールページから、ウェブスクレイピングを利用してデータが収集されたというもの。自動化されたbotがウェブページからデータをコピーするスクレイピングは、Facebookを含むほとんどのSNSの利用規約に違反しているものの、実際にスクレイピングを防ぐのは難しいとのこと。多くの人はFacebookのプロフィールを公開設定にしていますが、スクレイピングによる被害を抑えたい場合は、プロフィールの公開範囲を制限するなどの対策が必要です。

今回流出したデータベースに保存されていた電話番号や名前といった情報は、SMSを介したスパムやフィッシング詐欺などに使用される可能性があるとのことで、Facebookユーザーは疑わしいテキストメッセージに注意を払う必要があるとComparitechは警鐘を鳴らしています。送信者が名前を含む個人的な情報を知っていたとしても、流出した情報を基にさらに多くの個人情報を集めることが可能なため、安易に信頼するのは危険です。

なお、データベースにリンクされたウェルカムページとログインダッシュボードにベトナム語が含まれていたことから、今回の流出にかかわった犯人がベトナム人である可能性が高いとDiachenko氏は指摘しています。

この記事のタイトルとURLをコピーする

・関連記事
Facebookのデータベースがオンラインで公開され4億人以上の個人情報が流出していたと判明 - GIGAZINE

Facebookが150以上の企業にユーザーの個人情報へのアクセスを特別に許可していたことが判明 - GIGAZINE

5億件以上のFacebookユーザー情報がクラウドサーバー上に誰でもアクセス可能な状態で公開されていたことが判明 - GIGAZINE

5000万人の個人情報が流出した件でFacebookが調査結果を公表、自分が被害を受けたか確認する方法あり - GIGAZINE

Facebookが「一部のアプリ開発者が不適切にユーザー情報にアクセスしていた」ことを明かす - GIGAZINE

Facebookはユーザーの意図しない形で電話番号を悪用している - GIGAZINE

Facebookは電話番号と顔認証機能の扱いでユーザーを欺いていたと連邦取引委員会が判断 - GIGAZINE

12億人分もの個人情報がオンラインのサーバー上に誰でもアクセス可能な状態で保管されていたことが判明 - GIGAZINE

ホンダ社員の個人情報を含む1億3400万件ものデータがクラウド上でダダ漏れ状態にあったことが発覚 - GIGAZINE

・関連コンテンツ

in ネットサービス,   セキュリティ, Posted by log1h_ik

You can read the machine translated English article here.