パスワードを忘れた? アカウント作成
12392163 story
Facebook

Facebook登録者の電話番号から氏名などを抜き出せることが問題視される 36

ストーリー by hylom
仕様 部門より
あるAnonymous Coward 曰く、

最近、Facebookでは「セキュリティ向上」のために携帯電話番号を登録させるよう促している。以前にはAndroid版Facebookアプリが勝手にその端末の電話番号を送信していたという話もあったが、こういった方法で登録された携帯電話番号から、それに紐付けられたユーザーの名前やプロフィール写真、居住地といった情報を抜き出せるという問題が発見されたそうだ(Gurdian)。

Facebookには、携帯電話番号から友人を探すという機能がある。Facebookのユーザー設定では、自分が第三者から携帯電話番号で検索されることがデフォルトで許可されており、この場合携帯電話番号を非公開にしていても、携帯電話番号からユーザーの情報を取得できるという。この問題を報告しているエンジニアは、「シンプルなアルゴリズム」で1万件の携帯電話番号を生成し、Facebook API経由でそこからユーザーの情報を取得できたとのこと。取得できる情報はFacebook上で公開されているものに限られるが、これによって携帯電話番号とその番号を所有しているユーザーのある程度の情報を取得できてしまうことになる。

とりあえず、Facebookに携帯電話の番号を登録するのは控えたほうが良さそうだ。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • ネットでは「LINEは韓国製アプリでアドレス帳吸い上げられて個人情報漏えいするから危険」「だから Facebook Messenger とか WhatsApp(Facebookが買収)を使おう」なんて意見を良く耳にしますが、LINE は、

    • 利用者が多いのに 脆弱性が殆ど無い [twitter.com] 安全な設計。
    • 吸い上げるアドレス帳情報は電話番号のハッシュ値のみで、使用目的はマッチングのみとされ、漏えいは未だに確認されていない(技術的には電話番号のハッシュ値から電話番号を解読するのは容易ですが、LINEがそれを行い悪用した事実は確認できていない)。

    と意外にも安全でした。

    一方、Facebook ときたら

    と、かなり酷い状況です。

    LINE の方がましですね。

  • すでにfacebook で2段階認証をONにしている人も多いと思うので。
    2段階認証をONにした人は、以下の作業をすれば、ある程度はこの被害を防止できるかも。

    ・facebookにログイン
    ・画面上の青いバー右端、下向き三角の「設定」
    ・画面左の「プライバシー」
    ・「プライバシー設定とツール」画面で「私を検索できる人」項目
    ・「電話番号を使って私を検索できる人」 の選択肢を見る
    ・「全員」「友達の友達」「友達」の三択の中で「友達」を選択する
     (他の効果ありそうな対処、ありますかね、、、。)

    • by Anonymous Coward

      API叩かなくても、
      「友達を検索」で電話番号やメールアドレス入れると検索できるんだな。

      自動的に「公開設定」を優先させて欲しいところだが、今の所は設定変えるしかなさそうだな。

  • by Anonymous Coward on 2015年08月20日 16時38分 (#2867548)

    「電話番号認証・登録」がなぜセキュリティ向上になるかわからない。

    サービスの提供そのものに必要ない情報を提供するのは御免蒙る。
    なにかサイト側に問題があった時にそのサービスを利用するのに必須の情報が漏れるのはある程度仕方ないが、
    不要な情報まで登録させられて、洩らされる。セキュリティ向上どころか、セキュリティの劣化にしかならん。

    パスワードクラックや乗っ取りの対策ならば
    ①パスワードそのものを長くするか、
    ②2フィールドパスワードを作る。 
    ③最初の登録時にパスワードとは別のセキュリティコードを発行しアクセス時に必須にする(クレカ方式)
    のほうがよっぽどマシ。

    • by Anonymous Coward on 2015年08月20日 16時51分 (#2867557)

      2要素認証について理解しつつも同じような疑問を持っていたのですが、
      普段使いとは別に2要素認証専用の電話番号を用意するのが
      正解の気がしています。

      親コメント
    • by Anonymous Coward on 2015年08月20日 19時10分 (#2867657)

      なぜって、本人確認の為でしょ。
      本人の為のセキュリティじゃなく、友達に対してアカウントが本人である事を(ある程度)保証する。

      >電話番号を知ってる人間なら氏名は知ってるだろうよ

      というのがまさにそれで、逆に氏名だけでは同姓同名の似た人か、なりすましかわからない。

      fbは電話帳の登録番号と各アカウントの登録電話番号を照合して友達候補の優先順位を決めているようなので、
      電話番号を登録しているという事は、それが知っている人で間違いないと推定するのに非常に重要な情報となる。

      ・・・って、実際使ってればすぐわかる事なんだけどね。
      fbは自分中心のツールでもないし、リアルが主でその補助となるツールなのでリアルとのリンクがなにかしら必要なのはしょうがない。

      もちろん、漏れるとか、APIで抜けるとかに関しては別な話。

      親コメント
    • by Anonymous Coward

      電話番号に二段階認証用のコードが届きます

      • Re:毎回思うが (スコア:2, すばらしい洞察)

        by Anonymous Coward on 2015年08月20日 17時12分 (#2867576)

        だから?

        そもそも「FACEBOOKのサービスの提供に電話番号必要ないだろ」

        2段階認証なんぞなんの関係もない話。それこそ「必要もないのに電話番号で2段階認証させて、それを漏らしている」
        =セキュリティの劣化
        でしかないわけだが。今回の例のように。

        「今回のように必要もないのに登録させて、それを漏らしている」
        それがすべてなのだから。

        「初回登録時、本人が使用している要素の確認であれば認証URLメールでなんの問題もない。」

        http://it.srad.jp/comments.pl?sid=665504&cid=2867565 [it.srad.jp]
        >「非公開設定のはずの携帯電話番号が特定されてしまうことが問題」
        の通り。そもそも「いらんもの登録させなければ起こらない問題でしかない」

        大体、
        「電話番号から氏名を検索って必要な機能なのか?電話番号を知ってる人間なら氏名は知ってるだろうよ。
        氏名は知ってて電話知らない(教えたくない)ってのはあっても逆はないだろ」

        #一昔前までは「セキュリティの穴になるから不要な情報は集めない、表示しない」が「セキュリティの常識、アプリ開発者の常識」だったんだがなぁ
        #ビッグデータにしたいがためにセキュリティ軽視してなんでも間でも情報集めて理由が「セキュリティ向上」とは笑わせるわWWWW
        #実際は漏えい時の被害広げてるだけなのに

        #そもそも乗っ取られた時点で、乗っ取った人間は、電話番号もメアドも同時にすべて自分のものに変更してしまえばいい話。
        #逆にそれで、「前のメアドと旧電話番号もどちらか使えないと認証できない」なら本当に両方変更が必要な人間からは
        #変更不可の欠陥にしかならんよ。

        親コメント
        • by Anonymous Coward

          まあメールなんて必ず本人に届くかどうかわからんものより
          電話番号へSMS送った方が安心だよね、という企業側から見た安全性なのでは

          力説してるけど、あまり説得力を感じないなぁ

          • 届かないようなメールアドレス登録してくるやつがアクセスできないほうが企業側から見て安全ともいえる。

            単に、電話番号のほうが変えにくいだろうことが企業側から見て便利なんだろうな、と思うけど違うかな。

            元ACの、個人情報保護のために「不要な情報を集めない」という意見はごく普通だよね。

            親コメント
            • by Anonymous Coward

              メールはパスをハックすりゃ本人じゃなくてもいくらでも見れちゃうけど
              電話を違う端末で本人以外が代わりに受信することは難しいよね、ってだけかな

              不要な情報は集めないのはふつうだけど、不要かどうかの判断が個人の感情論に
              依存してるのがどうなのかな。本当に不要かどうかがユーザーが判断できるのかしら?

              不要かどうかと、自分が出したいか出したくないかをごちゃまぜにしてるだけかと

        • by Anonymous Coward

          馬鹿

    • by Anonymous Coward

      ①〜③ともパスワードやセキュリティコードを盗まれたら終わり。
      盗まれたことに気づかなければ、ずっと個人情報抜かれっぱなし。

      二段階認証で自分の電話にコードが届けば、電話を盗聴されない限り
      コードを知ってるのは自分だけ。
      万が一コードを盗まれても他の端末からは使えない。
      パスワードが盗まれて誰かがログインを試みても自分の電話にコードが
      届くからすぐ気づく。
      電話を盗まれたら電話を止めればいい。
      アカウントを止めるための緊急措置もある。

      もちろんサービスに必要ない個人情報を取得したり、
      それらを漏洩させたりすることを擁護するつもりはないけど、
      電話にコードを送る二段階認証よりも簡単・安全な方法があるなら教えてほしい。
      少なくともお前の言う①〜③はセキュリティの認識が甘すぎる。

      • by Anonymous Coward

        >二段階認証で自分の電話にコードが届けば、
        >アカウントを止めるための緊急措置もある。
        それすべて、「元々登録に必須なメールアドレスだけでもできることでしかないですが」

        >二段階認証で自分の電話にコードが届けば、
        メアドにメール送って認証用URL送ればいい話だわな・

        >>アカウントを止めるための緊急措置もある
        同じ

        メアド以外に電話要求する理由全くない

        • by Anonymous Coward

          そのメアドアカウントがクラックされてたり誰かに盗み見られてたりする可能性を想像できないのか…

  • by Anonymous Coward on 2015年08月20日 17時03分 (#2867565)

    「電話番号から氏名などを抜き出せることが問題」
    ではなく、
    「非公開設定のはずの携帯電話番号が特定されてしまうことが問題」
    なんだよ。
    わかってない人多すぎ。

    • by Rekishi (10137) on 2015年08月20日 17時12分 (#2867574)

      『「シンプルなアルゴリズム」で1万件の携帯電話番号を生成し、Facebook API経由でそこからユーザーの情報を取得できた』

      と書いてあるのは読んだ?

      # 人のことをわかってないという前に自分がわかっているのかどうか確認しようよ。
      # 最近こんなようなことばかり書いているんだけどさ。

      親コメント
      • by Anonymous Coward

        横から
        元ACの認識であってると思う。

        正確には「非公開設定のはずの携帯電話番号も氏名などを抜き出せることが問題」
        「電話番号を公開設定にしているなら電話番号から氏名などを抜き出せることは問題ない」

        >『「シンプルなアルゴリズム」で1万件の携帯電話番号を生成し、Facebook API経由でそこからユーザーの情報を取得できた』
        の中に「電話番号非公開のユーザーも検索できたデータが含まれた」

        のが問題なんですよ。

        • by Rekishi (10137) on 2015年08月20日 21時01分 (#2867736)

          それだと
          >「電話番号非公開のユーザーも検索できたデータが含まれた」
          さえなければ問題ないというように読めるんだけど、多くの人の合意事項としてそれで間違いないのかな?

          それが問題じゃないというのなら元ACが正しいんだろうけど、その元AC自身が「わかってない人多すぎ」と書いている以上、問題だと考える人が(多数派であるかどうかは別として)多くいるってことは理解できないはずはないと思う。

          # 少なくとも私は「デフォルトで」そんなことができるのは大きな問題だと思っている。
          # 自分で検索可能なように設定してくださいというなら大いに結構だと思うけど。

          そういったことを考えた上で、それを問題と考える風潮が良くないから是正しようというのであれば、たとえそれが自分の意見と異なっていても一つの見識として評価しようと思う。
          しかし、あんな書き方をしたら、左翼の連中が正論っぽいことを言い連ねてもほとんど支持を得られないのと同様の結果しかもたらさないよと言いたいわけですよ。

          # 雑談の場で小難しいこと言うなって?まあそりゃそうなんだけどさ。

          親コメント
          • by Anonymous Coward

            プロフィールに電話番号を公開している時点で、
            結局は電話番号と氏名のひも付のリストは作れてしまうので、問題はないのでないかと。

            電話番号でなく、読みでもプロフィールは検索できますし、そこでプロフィールの電話番号も拾えます。
            なので電話番号でなく50音を生成してAPIたたいても同じです。

            もちろん電話番号からの検索がデフォルトオフであるべきことには同意しますが、
            それでは今回の件について何一つ解決にならないのです。

            >「電話番号を公開設定にしているなら電話番号から氏名などを抜き出せることは問題ない」
            公開設定の場合、機能があってもなくても結果一緒なんですよ。問題ないのではなく、問題にしても変わらない

            なので結果
            >「非公開設定のはずの携帯電話番号も氏名などを抜き出せることが問題」
            になるのです。氏名検索では見えないはずのプロフィールが見えていることになるのですから

    • また別の「使い方」として記事にもあるようにランダム生成の電話番号からプロフィール付きで生きてる電話番号がわかるというところがまたアレなわけだな……。

      (この方法は電話番号だけでなくメールアドレスもだけど電話番号よりは自動生成しにくいからな……。)

      Facebookの「設定」→「プライバシー」の「私を検索できる人」の設定を確認して、これを狭い範囲に設定すればまぁ取り敢えずは大丈夫な筈。

      親コメント
  • by Anonymous Coward on 2015年08月20日 17時56分 (#2867593)

    Facebookって、電話番号も名前も名詞に刷ってばらまくような「一人前」が使うもんじゃなくて?

    • by Anonymous Coward

      会社の名刺に個人持ち携帯電話なんて載せてたら365日24時間サポートの電話かかってくるわ

      • 意識の高い人たちがよく使ってる個人の名刺みたいなもんでしょ?
        Facebookを強制してるらしい武雄市とか一部の企業に勤めてたら他人事じゃないけど

        親コメント
      • by Anonymous Coward

        会社の名刺なら会社の電話番号。てことは、FBも会社の電話番号を登録すればいい
        個人事業主の名刺なら自分とこの電話番号。そりゃばんばんかかってくるのもビジネス

  • by Anonymous Coward on 2015年08月20日 19時02分 (#2867647)

    他人に教えた物は、その時点で自分の管理を離れるってこと
    相手の会社の善良な管理者の注意で管理されていても漏れちまったら取り返せない
    実名登録のメリットも有るんだろうけど、デメリットのほうが遥かにでっかい
    携帯を複数持っているんだったら捨てられない番号と捨ててもいい番号を
    使い分けて自分の安全を確保したほうがいいんじゃないのかな
    しょせんSNSだもの偽名でいいじゃん

  • 自分が登録しなくても友人のアドレス帳経由で登録されちゃうんじゃないの? Facebookに友人がいる限り回避不能だと思うんだけど。

  • by Anonymous Coward on 2015年08月20日 22時09分 (#2867777)

    ランダムな電話番号をアドレス帳に登録して同期させたら友達()が2000人も出てきた

  • by Anonymous Coward on 2015年08月20日 22時11分 (#2867780)

    今年から二段階認証になったせいでIDわかれば登録されている名前がわかるようになってる

    • 今年から二段階認証になったせいでIDわかれば登録されている名前がわかるようになってる

      確かに、Google のログイン画面に ID(メールアドレス)だけを入力して次の画面に行った際に、パスワード入力画面に名前が表示される仕様になりました。

      Cookie を消去したり、Google にログインしたことのないブラウザから試しても「名前」が表示されるので、一見「IDわかれば登録されている名前がわかるようになってる」のだと思いましたが、実は違いました。IPアドレスも変えると、表示されなくなりました。

      ブラウザの Cookie に割り当てられる固有IDで当該ブラウザで過去にログインしたことが確認できた場合や、過去ログインに成功したIPアドレス(またはISP+地域)であることの確認ができた場合にのみ、表示されるようです。従って、同じパソコンを共有している人や、同じIPアドレスを共有している人に名前を知られるリスクはありますが、それ以外の人にIDから名前が特定されることはありません。

      たぶん、フィッシング詐欺対策でこういった実装にしたのだと思います。

      親コメント
      • by Printable is bad. (38668) on 2015年08月20日 23時23分 (#2867828)

        Google+ に登録していない場合の話です。

        Google+ に参加している場合(一時期、Google アカウント作成時にほぼ強制登録になっていました)には、もともと、ID(メールアドレス)だけから登録した名前が分かる仕様です。

        親コメント
  • by Anonymous Coward on 2015年08月21日 8時34分 (#2867957)

    Facebookって個人情報を自ら垂れ流す為のツールでしょ。
    何の問題もない。

typodupeerror

目玉の数さえ十分あれば、どんなバグも深刻ではない -- Eric Raymond

読み込み中...