知って得するセキュリティのはなし その32
Facebookユーザー4億1,900万件超の電話番号流出か…公開状態のデータベース発見
1.このニュースをザックリ言うと
- 9月4日(現地時間)、米国のネットメディアTechCrunchより、Facebookユーザー4億1,900万件以上のID(Facebook ID)とそれに紐付いた電話番号のデータが公開状態にあったと報じられました。
- オランダのセキュリティ研究者が所有者不明のデータベースを発見したことにより発覚したもので、8月末にアップロードされたものとみられており、連絡を受けたTechCrunchがWebホストに問合せた後にデータベースにはアクセスできなくなった模様です。
- Facebookからは2016年以降ユーザー情報の流出が相次いで発生しており、最近の例としては、
4月に約5億4,000万件のアカウント情報を収集していたサードパーティー(外部企業)のデータベースが公開状態にあったことが発覚したケースが挙げられます(AUS便り 2019/4/15号参照)。
2.執筆者からの所感等
- Facebookによれば、データは2018年4月に携帯電話番号でユーザーを検索する機能を終了した時点のものとのことで、またその多くは重複しており、実際の件数は約半分と主張しています。
- 記事に掲載されたデータのスクリーンショットを見る限り、Facebook ID(ユーザーを識別する数字)と電話番号の他には、ログイン時のメールアドレスやパスワードは含まれていないとみられる一方、誕生日・性別・住所(空欄もあり)およびユーザー名(いわゆるページID)が含まれていた模様で、例えばパスワードリセット機能を悪用することにより、メールアドレスの一部を割り出すこと等が可能とされています。
- 個人情報を含むデータベースを保存する場所が、たとえクラウド上であろうと社内のサーバー(オンプレミス)であろうと、どちらかがより安全であると確実に言えるものではなく、アクセス制限やデータベース自体のパスワード等による保護は両方のケースで必要不可欠ですし、それ以外にも、それぞれのケースで必要な対策を十分に洗い出し、確実に実行することが肝要です。