Sponsored Contents

最新記事

Image credit:
Save

「Facebookでログイン」に個人情報が不正取得されるおそれ。トラッカーサイトに転送も

Munenori Taniguchi, @mu_taniguchi
2018年4月20日, 午後06:30
181シェア
0
109
0
72

連載

注目記事


Facebookはそのアカウントで他のサイトのサービスを利用できるソーシャルログイン機能を提供しています。ところが、これを利用しているウェブサービスが悪質なJavaScriptをサイトに埋め込んでいる場合、Facebookユーザーデータが不正にトラッキングサイトへ転送される可能性があることがわかりました。

米プリンストン大学のCenter for Information Technology Policy(CITP)の報告によると、悪質なスクリプトが埋め込まれたサイトにFacebookの資格情報を使ってログインした場合、そのサイトに渡されるユーザーの公開プロフィール情報(氏名やメールアドレス、年齢層、性別、住所、そしておそらくプロフィール写真も)をJavaScriptトラッカーが取得し、第三者のサーバーへと転送もできてしまうとのこと。

CITPのウェブサイトFreedom to Tinkerはこの報告書で、こうした疑わしい動作をするスクリプトが存在する434サイトをリストアップしました。そのなかにはオープンソースのデータベースソフトウェアMongoDBも含まれており、MongoDBはTechCrunchに問題を指摘されてから、そのスクリプトを取り除いたとしています。

Facebook広報は、ソーシャルログインにおいてFacebookユーザーのデータを不正に取得することは我々のポリシーに違反する行為だとコメントしています。さらに「ユーザーIDとユーザーのプロフィールページの紐づけをすぐになくし、ユーザープロフィール画像の要求に対する追加の認証およびレーティング制限をかけられるよう取り組んでいます」と語りました。


CITPの報告では、簡単にユーザープロフィールにアクセスできたことはソーシャルログイン機能のバグではなく「ファーストパーティとサードパーティのスクリプト間にセキュリティ的な境界を設けていないから」と結論づけられています。そして、Facebookおよびソーシャルログイン機能を利用する企業はAPIの監査を実施し、プロフィール情報にだれがアクセスできるかを確認することを勧めています。

ちなみに、Facebookはアプリやウェブサービスに情報を渡さずにログインを可能にする匿名ログイン機能を、4年前から提供しています。ユーザーの立場からすれば全部こっちにすればいいのに、とも思えるものの、これはアプリやサービスのお試しログインに利用されることを想定しているため、本来の目的とは違ってしまうのかもしれません。



広告掲載についてのお問い合わせはad-sales@oath.com までお知らせください。各種データなどはこちらのメディアガイドをあわせてご覧ください。

181シェア
0
109
0
72

Sponsored Contents