このページの本文へ

Facebook利用にひそむワナ 思わぬところでマルウェア感染

2016年07月08日 09時00分更新

文● せきゅラボ

  • この記事をはてなブックマークに追加
  • 本文印刷

 Google Chrome経由で、Facebookを使用しているユーザーに感染する新しい種類のマルウェアが発見されたことが報告されている。

 このマルウェアは、Facebookユーザーに対し、アプリやメールで「自身がタグ付けされた投稿に友達がコメントしました」という通知を送る。送られてきたリンクをクリックすると、マルウェアが自動でパソコンやスマートフォンにダウンロードされ、ダウンロードが完了すると感染してしまうというもの。

 なお、FirefoxやSafariなどのChrome以外のブラウザを使用しているユーザーが、マルウェアに感染するかどうかは不明とのこと。

 FacebookなどのSNSは、多くの人と交流できる反面、危険が隠されていることもある。McAfee Blogの過去記事「Facebookアプリについては、ビルではなく、マイクを見習おう」から、SNSの利用にともなう危険性について学んでおこう。

あなたはアプリのプライバシーポリシーを確認していますか?

 こちらはマイクです。

 マイクはセキュリティ業界で働いており、自分の個人情報の取り扱いに不安を感じています。

 マイクは、なぜ世間の人々がFacebookアプリに飛びついてサインアップするのか不思議に思っています。

 マイクは、契約条件にざっと目を通すまで、Facebookアプリにサインアップしません。

 マイクは賢い人です。

 マイクを見習いましょう。

 数カ月前、米国でFacebookユーザーが、後にデマと判明する個人情報流出騒動に憤慨し、次のように投稿していました。

 「2015年9月29日午後10時50分(東部標準時)をもって、私は、FacebookまたはFacebookに関連するすべての事業体に対し、私がこれまでに投稿した、そしてこれから投稿する写真、情報などを使用することを許可しません」そして、こうした投稿がさらに100ワード以上続いていました。これがデマであったという事実は別として、プライバシーの侵害は大騒動になりました。しかし、私が疑問に思うのは、新しいアプリや技術を提供されると、人はなぜすぐに個人情報を明け渡してしまうのかということです。

 先週、多くの人たちが、棒人間の挿絵とともに、ユーザーの行動や性格をおもしろくまとめるアプリを使って、投稿を作成していました。この「Be Like Bill」というアプリには、好ましいプライバシーポリシーと条件が規定されています。短く読みやすい形式で、収集された情報は投稿を作成するためだけに使用され、サーバーには保存されず、他の企業に提供されることはないと明記されています。唯一、懸念を引き起こす条項は、彼らに「制限なく、補償なしに、ユーザーのコンテンツを永久的に私たちのサービスで使用、編集」できるようにする条項です。懸念に対応し、投稿の削除要請に応じる必要がなければ、サイト運営はずっと楽になることは理解できます。しかし、それでは、ユーザーの選択肢が大幅に減ります。

 これらのおもしろいクイズや投稿の多くが、ユーザーがFacebookで行うすべての行動を調べ上げています。個人情報問題の懸念にもかかわらず、何百万人もの人たちがこれらをインストールし、ひとときの楽しみのために個人情報を売り渡しています。残念なことに、おもしろいアプリと損害をもたらす可能性のあるアプリの差は紙一重です。大半は娯楽に分類され、限定的な情報しか必要としません。しかし、少なくとも最近公開されたあるアプリは、それ以上の情報を求めていました。

 そのアプリをインストールし、許可を与えると、開発者は以下のユーザーの情報を収集できます。

  • 名前、プロフィール写真、年齢、性別、誕生日などの公開情報
  • 友達リスト全体
  • タイムラインのすべての投稿
  • ユーザーの写真およびユーザーがタグ付けされている写真すべて
  • 学歴
  • 出身地および居住地
  • ユーザーが「いいね!」したすべて
  • ユーザーのIPアドレス
  • ブラウザ、言語を含む、ユーザーが使用しているデバイスに関する情報

 このアプリが悪質だと言うつもりはありませんが、クイズやアプリがこのような詳細な情報にアクセスする必要はないはずです。ユーザー同意書に、情報を保存したり、使用したり、販売したりすることはないと確約されていようとなかろうと、ユーザーは自分のデータや関連する個人情報の管理ができないことになります。そもそも、アプリがそのような情報を求めない方がずっと良いはずです。

無害か、有害か

 おもしろいアプリと損害をもたらす可能性のあるアプリを区別するにはどうすればよいでしょうか。アプリが求める情報をよく確認し、そのデータの潜在的なリスクについて考えてください。個人ユーザーはこれらのアプリの大きなターゲットであり、セキュリティやプライバシーが問題になる場合、最大の弱点は常に人です。これらの情報は、パスワードやセキュリティ質問の答えを推測したり、誰かになりすましてソーシャルエンジニアリングを仕掛けたりするのに使われることがあり、ビジネスに深刻な影響を及ぼします。

 たいていの人はこれまで、契約の条件を読んでいませんでしたし、すぐにでも読むようになるとは思えません。私が知りたいのは、なぜFacebookのプライバシーデマ騒動が他のアプリに対する懸念を引き起こさなかったのかということです。もっと重要なのは、すべてのアプリ、デバイス、Webページによるデータの要求が、適度なプライバシーに対する懸念を持って処理されるようにするため、何をするべきかということです。このペースでは、私たちがあらゆる情報を公開し、敵の手間を省くのも時間の問題だからです。

オリジナルの投稿については、Dark Reading(英文)をご覧ください。

※本ページの内容は2016年2月4日更新のMcAfee Blogの抄訳です。

カテゴリートップへ