2021年4月に発表されたニュースによると、Facebookから約5億3300万人分のアカウント情報が流出し、無料公開されていたことが明らかになりました。
公開されていたのは、携帯電話やメールアドレスなどのユーザー情報です。
このFacebookアカウント情報は、2019年に大規模な情報流出があった際に含まれていたものと見られ、今回はその情報がハッカーフォーラムで販売されて再拡散したようです。
データに含まれる個人情報は、米国や日本など106カ国に渡り、なりすましや不正ログインなどの犯罪に悪用される恐れがあります。
現時点でFacebookからこの情報流出に関する公式コメントは発表されていません。
なお、今回流出したアカウント情報のうち、65%はすでにHave I Been Pwned?に登録されており、Facebookから個人情報が流出していないかを調べることができます。
この記事の最後で個人情報流出の確認方法を説明するので、気になる方はチェックしてください。
Facebookアカウント情報が再び流出
セキュリティ企業「Hudson Rock」のCTO、Alon Gal氏が2021年4月3日にツイートしたコメントによると、今回公開されたデータは約5億3300万人分のFacebookアカウント情報とのこと。
All 533,000,000 Facebook records were just leaked for free.
This means that if you have a Facebook account, it is extremely likely the phone number used for the account was leaked.
I have yet to see Facebook acknowledging this absolute negligence of your data. https://t.co/ysGCPZm5U3 pic.twitter.com/nM0Fu4GDY8
— Alon Gal (Under the Breach) (@UnderTheBreach) April 3, 2021
このデータにはFacebook IDやメールアドレス、電話番号、氏名や性別、生年月日などの個人情報が含まれており、2020年6月からハッカーフォーラムにて販売されていたそうです。
Alon Gal氏は、このツイートの中で「今回流出したFacebookアカウントの所有者は、そのアカウントで使用していた電話番号も流出した可能性が高く、Facebookはこの過失を未だに認めていない」と述べています。
実際に「あるユーザーがTelegramのボットを作成してデータベースを照会すると、Facebookアカウントにリンクされた電話番号が大量に見つかった」とのこと。
流出した情報は2019年に発覚したFacebookの「友達追加」機能にある脆弱性を悪用したもので、現在はパッチが適用されているそうです。
Facebook 個人情報流出の危険性
Facebookでは以前にも個人情報流出が発生しており、英データ分析会社のケンブリッジ・アナリティカがFacebookの個人情報を不正に入手して、2016年のアメリカ大統領選挙でトランプ陣営を有利にするための工作を行ったという事件がありました。
今回の個人情報流出もFacebookの脆弱性が原因なので、自分で対策しても防ぎようがありません。どんなSNSでも被害に遭うと想定して、パスワード変更等の手順を確認しておいてください。
アカウントに含まれるメールアドレスや電話番号が流出すると、スパムメールやフィッシングに利用されるだけでなく、なりすましによる不正アクセスや、ログイン情報盗難などの犯罪に悪用される恐れがあります。
また、個人情報から各種ウェブサービスやネットバンクのパスワードを推測されたり、フィッシングメールを送りつけてウェブサービスやネットバンクのパスワードが盗まれるかもしれません。
情報流出を確認したら、すぐにメールアドレスやパスワードを変更して、セキュリティを強化するなどの対策が必要です。パスワードを使いまわしている場合は、面倒でも全て変更したほうがよいでしょう。
今回流出した情報は2019年当時のものですが、SNSに登録したメールアドレスや電話番号は、流出が判明しても変更せずにそのまま使い続けることが多いので、安全とはいえません。
現在Facebookを利用中の方は、リンクをクリックするように指示したり、個人情報を入力させるような怪しいメールやテキストに注意してください。
ちなみに、Facebookは以前に個人情報の管理不備で、50億ドルの制裁金を支払っていますが、今回の情報流出は、Facebookが関与できない状況で再拡散したため、責任を問うことは難しいようです。
Facebookから流出した個人情報を調べる
Facebookから流出したアカウント情報は、過去にSNSやウェブサービスから流出した個人情報やパスワード漏洩を確認できるサイト「Have I Been Pwned?」を使うと調べることができます。
直近の流出事例にも、2021年4月のFacebook情報流出に関する詳細が追加されています。
twitterアカウントでも、Facebookアカウント情報流出についてコメントしています。
here are some interesting insights on the breach: pic.twitter.com/uNF3bA8qLZ
— Zlatan Ivanov (@zlatanvano) April 4, 2021
流出した情報は日本やアメリカなどのfacebookアカウントも含まれており、ツイート内の見解を見ると、日本では428,625件の情報流出が確認されています。
Have I Been Pwned? には106億件(2021年4月現在)もの漏洩アカウント情報が蓄積されており、メールアドレスまたは電話番号を入力すると、データベースに一致した過去の個人情報流出や情報漏洩事件の情報を表示してくれます。
今回流出した情報のうち、65%はすでにhave i been pwnedに登録されているので、自分のFacebookアカウントが今回の流出に含まれているかどうかを調べることも可能です。
ただし、メールアドレスが含まれているのは250万件のみなので、過去の流出データベースと一致する確率はかなり低そうです。流出の確認には電話番号も併用してください。
Have I Been Pwned?でFacebookの個人情報流出を調べる
Have I Been Pwned? は英語のサイトですが、メールアドレスを入力するだけなので誰でも簡単に使えます。また、Facebookから流出した電話番号にも対応できるようになっています。
では、入力窓にFacebookアカウントで使用しているメールアドレスまたは電話番号を入力して、自分の個人情報が流出していないか確認してみましょう。
Have I Been Pwned? は以下からアクセスできます。
電話番号を入力するときは、頭の「0」を日本の国コード「81」に置き換えます。「090-1234-5678」であれば「819012345678」と入力します。
Facebookの個人情報流出が確認された場合は「Oh no — pwned!」と表示されます。
その下には2021年4月に発生したFacebook個人情報流出に関する情報も表示されます。すべて英語ですが、気になる方は翻訳ツール等を用いて読んでみてください。
流出がなければ「Good news — no pwnage found!」と表示されます。ただし、入力した情報は100%一致するわけではありません。
Have I Been Pwned? はFacebookだけでなく、他のSNSやウェブサービスの個人情報流出も確認できます。気になる方は以下の記事をチェックして、流出がないか確認してください。