最近の調査によると、フェイスブックの広告プラットフォームには、悪意のある人物が個々のユーザーの個人情報を入手するのに役立ち得る抜け穴がたくさんあるという。
メールアドレス、氏名、生年月日、自宅住所といった個人を特定できる情報は、その人の好みや嫌いなものと合わせて、ターゲット広告のカテゴリーに分類されます。つまり、広告主は自社商品の理想的な購入者に狙いを定め、例えば裕福な犬の飼い主に高価なペットフードの広告を投じることができるのです。しかし、こうしたシステムは悪質な人物によって悪用され、機密情報を盗み取られる可能性もあります。
米国の南カリフォルニア大学の研究者らはフェイスブックのターゲット広告機能を詳細に研究し、その研究結果を先月末に論文として発表した。
「我々は、プライバシー侵害、マイクロターゲティング(つまり、特定の個人または複数の個人に、その個人だけが広告の対象となることを明示的に知らせずにリーチする機能)、そして疎外されたグループにリーチする容易さという3つの欠点に焦点を当てています」と、イルファン・ファイズラブホイ氏とアレクサンドラ・コロロワ氏は論文の要旨で述べています。
仕組み
Facebookプロフィールを持つ人なら誰でも、広告ターゲティングの対象となる特定のユーザー層を定義する「カスタムオーディエンス」を設定できます。ここでの秘訣は、必要最低限の情報を提供し、システムを巧みに操作することで、オーディエンス検索結果を特定のユーザーではなく、ソーシャルネットワーク上のたった一人の不運なユーザーに絞り込むことです。
Facebook はこれを無効なユーザー属性として扱っているが、広告主が広告が届くネットユーザーのグループについてより詳しく知ることができる同社の別のツールであるオーディエンス インサイトをこの小さなカスタム ユーザー層と併用することで、その 1 人の個人情報を明らかにすることができる。
つまり、悪意のある人物が、カスタム オーディエンス検索機能とオーディエンス インサイト分析を組み合わせることで、特定の人物または人物のタイプを探して、その人物の年齢、収入、同居人数、個人的な活動などの個人情報を抜き出すことができるということです。
このツールは、誰にでも他人の生活についてより深く知る力を与えているようだ。そして、ユーザー1人あたり2,000種類以上の情報を識別できる。研究者たちは、Facebook上の友人の同意を得て、一時的に友人関係を解除してもらい、この分析機能を実験した。2人は、友人に関するデータを表示する際のオーディエンスインサイトの結果が「非常に正確」であることを確認した。
その小さな 1 人の視聴者から収集できる情報は、趣味から家族の詳細まで多岐にわたります。
「『この人(または)その妻は妊娠しているか?』『子供は何歳か?』『ギャンブルは好きか?』『実家暮らしか、それともルームメイトと暮らしているか?』『狩りをするか?』といった質問は、誰でも効率的に、しかも無料で答えられる」とファイズラブホイ氏とコロロワ氏は警告した。
カスタムオーディエンスの最小人数は現在20人です。Googleの1,000人、LinkedInの300人、Twitterの500人と比較すると少ない人数です。例えば、偽アカウントや共謀アカウントを19個も散りばめることで、広告主や好奇心旺盛な人は、1人、あるいは複数のユーザーを1人ずつ確認しながら、ターゲットを絞り込み、情報収集を行うことができます。
もう一つの潜在的な欠陥は、Facebookが広告主に対し、半径1マイル以内の位置情報でオーディエンスを絞り込むことを許可していることに関係しています。広告の基準に合致するユーザーが20人以上いれば、小さな地域や一軒家でさえもターゲットにすることができます。特に懸念されるのは、これらの地域に、出産支援クリニック、リハビリセンター、医療施設などに通う社会的弱者が含まれている場合です。こうした人々は広告キャンペーンによって容易に標的にされてしまう可能性があるからです。
「このような強力なツールが、賢く機知に富んだ敵によってどのように悪用されるかを予測することは困難です。特に、研究者もユーザーも、Facebookの広告プラットフォームを使用して何が実行可能か、広告のマッチングとレポートの実行時に自分のどのようなデータが使用されているかについて、完全な透明性を持っていないためです」と、コンピューターサイエンスの助教授であるコロロバ氏はThe Registerに語った。
Facebookの回答: できるだけ何もしない
研究者たちがこれらの脆弱性についてFacebookに警告したところ、Facebookは対応を拒否しました。しかし、ある時点でFacebookは、カスタムオーディエンスツールとオーディエンスインサイト分析でターゲットにできる人数を1人から20人に増やすことに同意しました。研究者たちは、ネットワークの欠陥を証明する動画の提出を求められ、ウェブサイトのバグ報奨金プログラムから2,000ドルの賞金を獲得しました。
Facebookが認める:アプリはユーザーの受信箱にアクセスする許可を得ていた
続きを読む
2人がFacebookに対し、カスタムオーディエンスの規模を500から1,000程度に増やすよう要請したが、シリコンバレーの巨大企業であるFacebookは要請を無視し、現在も対応していない。位置情報ターゲティングの問題に関しては、研究者らは「このバグがどのようにしてFacebookユーザーデータの整合性を損なったり、Facebookユーザーデータのプライバシー保護を回避したり、Facebookのインフラ内のシステムへのアクセスを可能にしたりするのかを明確に説明」するよう求められた。
2人が返答した後、Facebookは反応せず、バグ報奨金レポートも閉じられ、2人がいかなる形でも対話を行うことはできなくなった。
ファイズラボイ氏とコロロバ氏は論文の中で、Facebookの広告プラットフォームを通じて人々の行動を盗み見ることがこれほど容易だったのは、Facebookのプライバシーに対する軽率なアプローチが原因だと考えていると述べた。率直に言って、Facebookはプライバシーを全く気にしていないと彼らは述べている。
「『個人ターゲティング』に関する当社のホワイトハットレポートに対するFacebook社の『これは設計通りに機能している』という反応は、マイクロターゲティングや、Facebook社が導入した基本的なマイクロターゲティング保護の回避に対する無関心を示している」と2人は論文の中で述べている。
Facebookはコメントを控えた。今週、米国議会に出席した際も、CEOのマーク・ザッカーバーグ氏は、Facebookが何百万人もの人々のオンラインおよびオフラインの活動を密かに、そして秘密裏に追跡できる能力の本質、そしてその情報がどのようにして不正な意図を持つ第三者に渡される可能性があるのかという質問を避け続けた。®
