まるで詐欺師のような手口ですな。

何らかのウェブサイトに登録するときに、プライベートな個人情報を求められ｢セキュリティーが怪しいな｣と思わされることがありますよね。先日、Daily Beastが報じたところによると、Facebookはサイトに初めて登録しようとするユーザにEメールアカウントのパスワードを提出するように求めるケースがあるようです。Daily Beastの取材に応じたセキュリティー関連のコンサルタントであるJake Williamsさんはこの行為を｢怪しいと言う領域を超えている｣と形容しています。

発覚

この問題が最初に浮上してきたのは、Twitter上で@originalesushiのハンドル名を使うユーザが問題の状況のスクリーンショットをTwitter上で挙げたことに始まります。この画像内では、Facebookにパスワードを与えることで、サードパーティーによるEメールアドレスで“自動で”認証できると述べられています。Daily Beastの記事によると、ユーザの登録に関して何らかの理由でFacebookが｢怪しい｣と判断した場合にこのようなメッセージがなされるとのこと。Daily Beastでも｢使い捨てのウェブメールのアドレスを使い、VPN経由でルーマニアから接続して｣Facebookに登録しようとすると、同様のメッセージが再現できたようです。

Hey @facebook, demanding the secret password of the personal email accounts of your users for verification, or any other kind of use, is a HORRIBLE idea from an #infosec point of view. By going down that road, you're practically fishing for passwords you are not supposed to know! pic.twitter.com/XL2JFk122l — e-sushi (@originalesushi) March 31, 2019

Eメールアドレスのパスワードは要求していいものじゃない

いかなる状況でも、Eメールアドレスのパスワードはどのような相手にも渡すべきではありません。100%確実にサイトの正当なオーナーであると証明された状況で、他にオプションがないような状況であれば仕方がないのかもしれませんが、そのような状況は発生すべきではありません。

Eメールアカウントはインターネットを利用するにあたり、主要な玄関口となる情報です。銀行やソーシャルメディア、ポルノ動画サイトに至るまであらゆるアカウントの登録に必須となっています。またEメールアカウントにログインすれば、削除されていないこれまでの過去のメールが全て見られることになり、他のユーザの連絡先も見ることができます。以上の理由から、Eメールのパスワードを要求することは詐欺行為を見極めるポイントの1つとして知られています。

｢怪しいと言う領域を超えている。ユーザーのパスワードを取得したり、バックグラウンドでユーザーのパスワードを扱ったりするべきではない。Facebookに登録するためにパスワードが必要なのであれば、Facebookをやめたほうがいい｣

WilliamsさんはDaily Beastで語っています。

｢これではフィッシング詐欺と基本的に区別がつかない｣

電子フロンティア財団のセキュリティー研究者であるBennett CyphersさんはBusiness Insiderに語っています。

｢これは多くのレベルにおいて悪い行いだ。Facebookによる馬鹿げた、やり過ぎの行為であり、Facebookに登録することを餌に他のユーザの連絡先のデータを騙して取り出そうとする、怪しい試みだ。このような個人情報はいかなる会社もリクエストするべきではない。そのような会社は誰も信頼してはいけない｣

Facebook｢パスワードは保存していません｣

米Gizmodoの質問に対して、Facebookの広報担当者は、このスクリーンキャプチャーのメッセージがFacebookに初めて登録しようとするユーザの一部に表示されるということを認めました。と同時に、｢これらのパスワードはFacebookによって保存されてはいません｣と述べました。そしてEメールのパスワードを尋ねるユーザ数は｢非常に小さい｣とも説明しています。ログイン情報をシェアすることなしに、サードパーティに（多くの場合、本人確認を目的として）アクセスを許すオープン・スタンダードであるOAuthという規格があります。多くの大手メール・プロバイダーはOAuthをスタンダードな機能として搭載しています。今回のメッセージが表示されたユーザーはOAuthをサポートしないメールアドレスを使って登録しようとした人々のようです。

また、パスワードの提供を求められたユーザたちにはオプトアウトする（宣伝広告などを送りつける）こともでき、Eメールや電話といった他の承認手段を使うこともできるとのこと。Eメールのパスワードを求める慣習は終了させようとしているとも述べています。

｢Eメールに承認リンクを送る、電話にコードを送るといった方法でアカウントの承認をすることは常に可能です。とは言ったものの、パスワードを使った承認オプションは最善ではないと我々は理解しています。そのため我々は（パスワードを求める承認手段を）停止する予定です｣

しかし、ここで述べられている他のオプションと言うのは、｢ヘルプが必要ですか？｣と言うボタンをクリックすることで初めて利用可能になります。これは他のオプションがあると言うことを知らないユーザたちにとってはわかりやすくはないでしょう。

連絡先をインポートしようとする模様

Business Insiderによると、この方法でFacebookに登録した場合、Facebookはユーザの許可を得ることなしに、メールアカウントの連絡先をインポートするとプロンプトが現れるそうです。｢このツールが直ちにこれらの連絡先を実際にインポートするかどうかは明確ではありません｣とも書かれています。

新規登録のユーザがEメールアカウントのパスワードをFacebookに入力すると、ポップアップのプロンプトが現れ、Facebookが｢連絡先をインポートしている｣と表示される、とBusiness Insiderは発見しています。ユーザはこれに対する許可を求められません。このツールが直ちにこれらの連絡先実際にインポートするかどうかは明確ではありません、というのもテスト目的で我々が作成した連絡先リストをインポートしているようには見えなかったからです。ただし、これらの連絡先は作成して数分しか経っていないものでした。

Eメールのログイン情報を長年にわたって活用してきたFacebook

米Gizmodoが電話で質問をしたところ、Facebookの広報担当者は、Eメールのログイン情報の活用は｢長年にわたり行われてきた｣と認めました。また、｢このオプションの意図は単純にアカウントを確認するためです｣と述べました。パスワードを取得したアカウントに含まれる連絡先といったデータにFacebookがアクセスをしたのかどうかについて広報担当者はすぐには分からないが、追って連絡すると回答しています。FacebookはEメールアドレスをつなげることで、その連絡先を、ユーザの潜在的なFacebook上の友人を表示する機能に活用しています。

Facebookはパスワードを保管はしていないと述べているものの、彼らはこれまでにも2段階認証といった表面上はセキュリティー目的である機能を使って、ユーザの電話番号を取得し、ターゲット広告に利用するということを行なってきました。過去にも、どのような種類のデータを収集するかについて、Facebookの発表は自己矛盾を抱えているものがありました。Portalビデオフォン上の通話データとアプリ利用に関するものがその一例です。VPNのフリをしたアプリをローンチし、実際はユーザのデータを収集したり、通話やテキストのデータをFacebookが取得するかどうかに関するユーザの管理方法をわざと不明瞭にしているかのような行動を取ったり、といった具合です。先月末には、Facebookが何億人ものユーザのパスワードをプレーンテキスト形式で保管しているという情報も流出してニュースになっています。