フェイクニュース、ロシアの荒らし、ジャーナリズムの徐々に進む残酷な破壊は忘れて、今度はFacebookが、SMSベースの二要素認証にサインアップしたネットユーザーの携帯電話にテキストメッセージを大量に送信したことで非難を浴びている。
ソフトウェアエンジニアのガブリエル・ルイス氏は今週、携帯電話番号でセキュリティ対策を有効にしたところ、予想通りワンタイムログイントークンだけでなく、Facebook で起こっていることへのリンクが書かれたテキストメッセージも受け取るようになったと語った。
ずるいですね。セキュリティの仕組みを使って、ウェブサイトに誘い戻そうとしているんですね。
さらに悪いことに、ルイスはスマートフォンにFacebookアプリをインストールしておらず、テキストメッセージによる通知も受信設定していなかった。つまり、彼がFacebookに指示したのは、ログイン認証コードをテキストメッセージで携帯電話に送信することだけだった。そして今、彼はあらゆる情報を受け取っているのだ。
それに加え、ルイス氏は、フェイスブックのメッセージへの返信(配信停止の試みなど)はすべて彼のプロフィールページに直接投稿され、まるで連続殺人犯の被害者のように「やめろ!」と叫んでいるように見えたと述べた。
それでFacebookで2段階認証に登録したら、それを悪用してスパム通知が送られてきたんです。そして、私の返信がウォールに投稿されました。🤦♂️ pic.twitter.com/Fy44b07wNg
— ガブリエル・ルイス🦆 (@Gabriel__Lewis) 2018年2月12日
この失態により、暗号学教授のマシュー・グリーン氏を含む一部の人々は、Facebook が意図的に 2 要素 SMS 認証のバックエンドを、モバイル アプリをインストールしないことを選択した人々のためのメッセージング システムとしても機能するように構成したのではないかと疑っている。
FacebookのSMSスパムはバグだと言う人が大勢いますが、全くのデタラメです。Facebookの誰かが、2FAユーザーが入力した携帯電話番号にスパムを送信することで「ユーザーを再び惹きつける」という意図的な決断をしたのです。全くバグではありません。
— マシュー・グリーン(@matthew_d_green)2018年2月14日
グリーン氏はさらに、自分も迷惑な警告を受け取っていると述べ、そうした警告が届くようになったのはごく最近だという。
2要素認証(2FA)を使っている人はいますか?素晴らしい2要素認証です。Gmailユーザーのうち、2要素認証を有効にしているのは10%未満です。
続きを読む
Facebook社はこの件について声明を発表したが、問題の原因や解決方法については、そもそも電話番号を同ソーシャルネットワークに提供しないことを提案する以外は、曖昧なままだった。
つまり、SMSでプロフィールを保護してスパムメールの被害に遭うか、パスワード窃盗から保護して平穏を得るか、どちらかです。いいですね。幸いなことに、Facebookでは専用のセキュリティトークンやその他の二段階認証方法を使って携帯電話番号を渡さずに済みます。SS7攻撃が相次いでいることを考えると、SMS以外の認証方法を使うのは良い考えです。
「当社は、二要素認証などのセキュリティ機能に関連するものも含め、ユーザーが通知を制御できるようにしています」と広報担当者は水曜日の夜にエル・レグ紙に語った。
「私たちはこの状況を調査しており、皆様のコミュニケーション管理を支援するために、さらに何かできることはないか検討しています。また、U2Fセキュリティキーとコードジェネレーターを使用して2段階認証に登録されている方は、Facebookに電話番号を登録する必要はありません。」
これはFacebookにとって特に悪いタイミングだ。迷惑テキストメッセージに関する報告は、このソーシャルネットワークがドイツのプライバシー法に違反したことが判明した直後に出されたものだからだ。
Facebookは、モバイルアプリで位置情報の追跡を含む複数のオプトイン設定に事前にチェックを入れることで、このユーロ圏の規則に違反しました。Facebookは今月の判決に対して控訴すると表明しています。®
