フェイスブック、パスワード再確認の理由は、5000万人アカウントのハッキング
KNNポール神田です。
Facebookのログインで、各端末ごとに、やたらパスワードが求められるていると感じていたが、やはり、Facebookに、ハッキングによる情報漏洩のトラブルが発生していたようだ。
現在、セキュリティー上の脆弱性があり、既存アカウントを5000万人に対して、自動的にログアウトさせた。Facebookの『アクセストークン』もリセットしているので、対象となったアカウントに対して、Facebookの『ログインパスワード』が求められるという。
この件に関する、Facebook社による日本語のリリースも出された。
Facebookといえども、セキュリティは万全ではないということ
Facebookは、『プロフィールのプレビュー機能』に脆弱性があると判断しログアウトによる遮断を試みた。
インターネット上に接続されたFacebookのサービスのどこかで存在してしまった『脆弱性』をもとに、不正にアカウントにアクセスされ情報を乗っ取ることが可能な状態になっていたからだ。しかも、2017年の7月に変更してからだから、1年以上にわたってその脆弱性に気づいていなかったこととなる。そこで、急遽Facebookは、『アクセストークン』という自動でFacebookにログインできる機能をリセットしたので、突然、ログインパスワードが求められるという現在の状況が生まれたのだ。
しかし、まだ調査が初期の段階のため、アカウントの不正使用、または情報の不正アクセスがあったかはまだわかっていない。パスワードの変更は不要というが、『facebookで認証ログイン』という認証で、多数の他のサービスへのログインを使用している人は、気が気でないはずだ。Facebook認証で他のサービスにもログインしている人は、TwitterやGoogleと同様に、Facebookのアカウントを乗っ取られると他のサービスまで乗っ取られる危険性を秘めている。
むしろ、現在のログインIDが『電子メールor電話番号』『パスワード』だけということのほうが不思議でもある。IDはもっともっと、ユニークな選択肢があるべきだろう。パスワードを忘れた時のお知らせの呪縛からこのログインID方式になっているのかもしれないが、絶対に忘れないような『サブID(あだ名など)』や『漢字での計算問題(外国人ハッカーには読めない)』や『パズル認証(プログラムで解決しにくい)』なども追記して欲しいものだ。すでに『パスワード生成ソフト』で作成したパスワードは高度すぎて、キーボードで打つことすら不可能になりつつある。高度で複雑なパスワードだけでは、「ど忘れ」という単純なヒューマンエラーも起こしやすい。
現在の電子メールによるログインと現状のパスワードのみというセキュリティはすでに、裸で財布を持って歩いているようなものだ。
『アクセストークン』を付与するまでは難しくし、付与してからは簡単というのが一番管理が楽なのだ。情報が漏洩しても、サブIDやもうひとつのログインIDがあることによって堅牢性は担保される。
『セキュリティに関する重大なアップデート』というタイトルはおかしい!
本来であれば、Facebookのサービス上でこの『リリース』をタイムラインのいつもの広告のように表示すべきなのだ。そして、タイトルは、『ユーザーの皆様へのハッキングに関するお詫び』とすべきだろう。『セキュリティに関する重大なアップデート』ではないだろう。それは、ハッキングされた事実とリセットしている事を隠蔽している。しかも、わざわざ、ユーザーがFacebook社のニュースリリースを見に行かなければならないということでもない。すべてのユーザーでないとしても、ハッキングされた情報は、外部のメディア経由で知るのではなく、Facebook上で知らせなければならないのではないだろうか?
Facebook NewsRoom
https://ja.newsroom.fb.com/news/
ユーザーとFacebookとの理想の関係
Facebookは、ユーザーの利用で収益をあげているのではない。しかし、ユーザーがたくさんいることによって、間接的に広告を見せることによって、広告という収益があがるビジネス構造だ。ユーザーが広告を見て、利用するから広告主はプラットフォーマーのFacebookに対して広告費という費用を支払うのだ。ユーザーがFacebookを利用しなくなればFacebookの広告モデルは破綻してしまう。
つまり、Facebookとユーザーは相互に『広告』に依存している関係性でもあるのだ。
『いいね!』はFacebookにおける『猿のグルーミング』活動
ユーザーは、友達のタイムラインの記事に対して、『いいね!』ボタンを押したり、『コメント』したり、『シェア』したりしてコミュニケーションをはかる。何年も会っていない知人とでも、近況報告を『猿のグルーミング活動』のようにネット上でできるのだ。そう、猿のグルーミングと同じく、ユーザーはそこで金銭的なメリットは存在しない。時間を費やし、ネット上での個人対個人というソーシャルな集団活動に勤しんでいるのだ。しかし、その場でセキュリティ的な問題があった時、それを秘匿するボス猿は、市井の猿たちからリスペクトされるだろうか?
より良いボス猿は、市井の猿たちの安全を考え、グルーミング活動に危機があることを真摯に正直に誰もがわかるように伝え、それを理解させた上で、安全に取り組むと宣言するはずだろう。
しかし、賢い猿たちは、そんな危険な思いまでして広告のネタとなったグルーミング活動に勤しむことのアホらしさに気づき始めることだろう。しかも、悪質な広告まで表示され、ユーザーの利益に反する広告も野ざらしとなっている。
フェイスブック極悪アプリ広告の定期購読解約方法
https://news.yahoo.co.jp/byline/kandatoshiaki/20180918-00097325/
Facebookはユーザーを広告をクリックしてくれる間接的な最終クライアントとして考えるべきだ
Facebookの現在の強さは、たまたまFacebookから乗り換えるべく、妥当なプラットフォームがないからだけなのだ。すでにユーザーは、飽和している。ある日、知人たちが突然、Facebookから、こちらのサービスに乗り換えましたと大量に言い出したら、大量にFacebookからの民族大移動が起きるはずだ。そして、そちらのプラットフォームは記事の『いいね!』数にあわせて広告料金の分配がもらえるなどの収益の還元システムがあると、良い記事はますます評価され、シェアされていき、さらに良い記事が書かれるという『善循環』が起きるはずだ。
そろそろFacebookは、メッセンジャーにまで広告を入れたりするような改悪サービスではなく、ユーザーに利益を還元するようなしくみを考えたり、セキュリティ問題や、第三者に対しての情報漏洩に対しても、ユーザーを無料でサービスを使っているタダ乗りユーザーとしてではなく、広告をクリックしてくれる間接的な最終クライアントとしての見方を『熟議する時期』に来ているのではないだろうか?
そういうユーザーの見方をすると、ハッキングのアナウンスの仕方ひとつにとっても、もっともっと真摯になれるはずだと思う。