Metaが145億円の制裁金を科される、数億件のパスワードを平文で保存していた問題で

Metaが、数億件のパスワードを暗号化せずにサーバーに保管していた問題で、調査を行っていたアイルランドのデータ保護委員会(DPC)が2024年9月27日に、同社に対して9100万ユーロ(約145億円)の制裁金を科すことを発表しました。

Irish Data Protection Commission fines Meta Ireland €91 million | 27/09/2024 | Data Protection Commission
https://www.dataprotection.ie/en/news-media/press-releases/DPC-announces-91-million-fine-of-Meta

Meta pays the price for storing hundreds of millions of passwords in plaintext | Ars Technica
https://arstechnica.com/security/2024/09/meta-slapped-with-101-million-fine-for-storing-passwords-in-plaintext/

EU privacy regulator fines Meta 91 million euros over password storage | Reuters
https://www.reuters.com/technology/eu-privacy-regulator-fines-meta-91-million-euros-over-password-storage-2024-09-27/

この問題は、セキュリティ研究者のブライアン・クレブス氏が2019年に、当時社名がFacebookだったMetaのサーバー上に「Facebookユーザー数億人のアカウントのパスワードがプレーンテキストで保存され、何千人のFacebook従業員が検索できる状態だった」と報じたことで発覚したものです。

Facebookが数億件分のパスワードを暗号化しないままサーバーに保存していたことが明らかに - GIGAZINE

Metaは影響を受けるユーザーの具体的な数を明かしませんでしたが、「数億人のFacebook Liteユーザー、数千万人の他のFacebookユーザー、数百万人のInstagramユーザー」に、パスワード問題についての告知をする予定だと報告しています。

これについて約5年間にわたって調査を行っていたDPCは2024年9月27日に、Metaのアイルランド子会社・Meta Platforms Ireland Limited(MPIL)に対して戒告と9100万ユーロの制裁金を科すことを発表しました。

1990年代以降、ユーザーデータを扱う業界ではパスワードを暗号的にハッシュ化することが常識とされてきました。ハッシュ化とは、プレーンテキストの各入力ごとに一意の長い文字列を割り当てる一方向の暗号アルゴリズムを介してパスワードを扱う手法のことです。このベストプラクティスは、近年では多くの地域の法律や規制で義務化されています。

それにもかかわらず、Metaはユーザーのパスワードを安全に取り扱っていなかったことが、当局の調査で判明しています。

DPCのグラハム・ドイル副委員長は声明で、「ユーザーのデータにアクセスされることによる不正使用のリスクを考慮すると、パスワードを平文で保存すべきでないことは広く認められています。とりわけ、今回調査の対象となったパスワードは、ユーザーのソーシャルメディアアカウントへのアクセスを可能とするものであることから、特に機密性が高いものである点に留意する必要があります」とコメントしました。

こうした問題から、Metaはデータの漏えいについてDPCに報告することを規定したEUの一般データ保護規則(GDPR)第33条や、パスワードの機密性を確保するための対策を講じることを義務付ける同第32条に違反したと、DPCは指摘しました。

発表に対し、Metaの広報担当者は「当社は2019年のセキュリティレビュー中にこのエラーを特定した後、直ちに修正措置を講じており、パスワードが悪用されたり不適切にアクセスされたりした証拠はありません」と述べました。

DPCは、後日この問題に関する調査結果の詳細を公開する予定としています。