先週末(4月第1週)、106カ国以上のフェイスブックユーザー5億3300万人分の個人データが、オンラインから無料で入手できることが明らかになった。セキュリティ研究者のアロン・ガルが摘発した大量のデータには、電話番号、電子メールアドレス、居住地、氏名、生年月日が含まれている。フェイスブックは当初、データ漏えいは以前、2019年に報告されており、同年8月には原因となった脆弱性にパッチを当てたと主張していた。しかし実際には、フェイスブックはその時点でデータ漏洩を適切に開示していなかったようだ。同社はついに4月6日、マイク・クラーク製品管理部長によるブログ投稿で、そのことを認めた。
ブログ投稿内でクラーク部長は、「悪意のある行為者」が連絡先インポート機能を使用して、ユーザーのプロフィールから盗んだデータであるとの見方を述べた。連絡先インポート機能は、ユーザーの連絡先リストを使用してフェイスブック上の友人を見つけるのに役立つ機能だ。データが盗まれた時期は正確には明らかになっていないが、フェイスブックによると「2019年9月以前」だったという。事態を複雑にしているひとつの要因として、サイバー犯罪者は別々のデータ・セットを組み合わせて別々のチャンク(まとまり)として売却することが非常に一般的であることが挙げられる。加えて、フェイスブックはこれまで長年にわたり、多くのさまざまなデータ漏洩事件を起こしてきた(最も有名なのはケンブリッジ・アナリティカのスキャンダルだ)。
2018年5月に欧州連合諸国で、「EU一般データ保護規則(GDPR:General Data Protection Regulation)」が施行された。これ以降に今回のデータ漏えいが発生していた場合には、フェイスブックは罰金と強制措置の責任を負う可能性がある。データ漏洩を72時間以内に関連する規制当局に開示するというGDPRの規定を破ったからだ。アイルランドのデータ保護委員会(Data Protection Commission)が現在、フェイスブックのデータ漏洩について調査している。米国では、フェイスブックは、2019年6月以前のデータ漏洩については米国連邦取引委員会(FTC)の罰金が免除される取り決めに2年前に署名した。そのため、それ以降にデータが盗まれたのであれば、米国でも強制措置に直面する可能性がある。
今回の事件ではパスワードは漏洩していないが、漏えいした情報を使って詐欺師がスパムメール送信やロボコールをしかける可能性がある。自分が危険にさらされていないかどうかを知りたい場合は、haveibeenpwned.comにアクセスして、電子メールアドレスや電話番号が漏洩していないか確認するといいだろう。