Facebookで「電話番号が抜かれた」というのは本当か?
Facebookにプライバシー上の新たな問題があったことが、この10月に報じられた。インドのセキュリティ研修者スリヤ・プラカシュ(Suriya Prakash)さんが、自身のブログに書いたエントリー「Me and Facebook (A C4utionary Tale) 」によると、電話番号からFacebook登録者を検索する機能を悪用して、大量の携帯電話番号とユーザーのリストを入手することができたという。
【参考URL】
- フェイスブック、「電話番号の不正な大量取得」対策に苦慮|エンタープライズSNS|トピックス|Computerworld
- Facebook Confirms Data Breach - Slashdot
こういった報道があると、ネットでは「電話番号が流出」「電話番号が抜かれた」といって話題になるが、実際の手口はその表現通りのイメージとは少し異なっているようだ。どちらかといえば、電話番号をキーに名前が抜かれたという形になる。
その単純極まりない手口とは
まず、携帯電話の電話番号と同じ長さの数字列を適当に用意する。例えば、日本の携帯電話なら「09010000000」「09010000001」「09010000002」……という11桁の数字になるだろう。
そういった電話番号っぽい数字列を、Facebookの問い合わせインターフェイスに順に渡していく。もし、その番号を携帯電話番号として登録しているユーザーがいれば、検索は成功してユーザー名が表示される。いなければエラーになる。
ある人物をターゲットに、ピンポイントで電話番号を調べられるようなスマートな手法ではない。ただただ総当りで番号をめくっていけば、たまには登録されてる番号もあって、どこの誰だかわからない人物の情報が得られる、という方法だ。
普通に考えればエラーになる番号のほうが圧倒的に多く、効率はとても悪そうで、あまり有用な手法には思えない。Facebookとしても、一度に試行できる回数に制限を設けることで、プライバシー情報の流出は実質的に防いでいるつもりだった。
しかし、もしひたすら延々と試行できれば、検索に成功して得られるユーザー名もそれなりの数になる。Facebookのモバイル版がまさに制限なく試行でき、たくさんのユーザーの携帯電話番号一覧が得られた、というのがこのブログの主張のようだ(現在はモバイル版でも制限されているもよう)。
なぜ、逆引き機能があるのか?
このように電話番号からユーザーを調べる、一種の「逆引き」検索は、現在的なソーシャル・ネットワーキングなサービスでは、積極的に活用される機能のひとつだ。というのは、携帯電話の連絡帳をアップロードして、リアルの知り合いでサービスを使っている人を引きあわせてつながりを作ることで、ソーシャルグラフを強化する狙いがある。
Facebook以降の「ソーシャル」なサービスは、現実世界でのリアルで小規模な結びつき、本当に親密なコミュニティを大切にするようになっている。この連載では何度か書いてきたことだが、いかにもネットらしい仮想的な匿名に近い関係性だけでなく、お互いに顔も名前(本名)もよく知った顕名性の人間関係までもが、ネット上に構築されるようになっているのだ。
