Facebook「アプリの許可」のクリックに潜む危険

Facebookでは、時としていわゆる「スパムアプリ」が猛烈な勢いで広がることがある。

友達がアプリを使っているという情報がニュースフィードで表示されたとき、そのリンクをクリックしてアプリを許可してしまうと自分もスパムアプリを広めてしまうことになる。

日頃、セキュリティに気を配っている人でも、「友達が使っている」ということで、うっかりリンクをクリックしてしまうことから、広がりが速いと言われている。

しかし、それだけではない。実は、試しに使ってみただけなのに、あたかも日常的に楽しんで使っているかのように、勝手にウォールに投稿されてしまうことがアプリの広がりを加速させているのだ。

どうしてこのようなことが起こるのか。いわゆるスパムアプリがどういう動きをするのか、また、アプリ開発時にどのような設定が行われているのかを仮想事例を元に検証してみてみよう。

仮想事例:友達のHPとMPを表示するスパムアプリ

AさんがFacebookを開いてみると、友達のBさんが「最強戦士は誰だ!HP/MP診断ツール」というアプリを使っているという情報がニュースフィードに表示されていた。

一緒に投稿されている画面には、Bさんの友達のHPとMPがずらりと並んでいる。Aさんの結果は、HPが10、MPが3でリストの中では最弱だった。

よくある診断ツールかと思いつつ、自分が最弱だったことも気になって、試してみようと思った。

リンクをクリックすると、「アプリの許可」という画面が表示された。深く考えずに「許可」をクリック。

友達のHP、MPが表示された。やってみると意外とつまらないもんだな、と思いつつ自分のページに戻ってびっくりした。診断の結果が自分の近況として画像付きで投稿されている。しかも画像には友達の名前もタグ付けされている。

気づけば、ニュースフィードの前後にも別の友だちが試した結果が表示されている。

「スパムアプリか・・・」Aさんはあわててアプリを削除し、さらに画像のタグ付けと投稿も削除した。

しかし、これだけではなかった。

その日から、Aさんのメールアドレスにスパムメールが相次ぐようになった。

Aさんが許可してしまったもの

Aさんは「アプリの許可」をクリックしたときに、いったい何を許可してしまったのか。Aさんが許可してしまったものを見てみよう。

あなたの基本データへのアクセス

名前、プロフィール写真、性別、ネットワーク、ユーザーID、ともだちリスト、また全員に公開しているすべての情報へのアクセス。

「基本データ」については、すべてのFacebookアプリが認証時に要求する仕様になっている。なお、ここでユーザーが情報へのアクセスを許可したからといって、すべてアプリ開発者がこれらの情報を取得、利用しているわけではない。

友達の基本情報へのアクセス

友達の名前、プロフィール写真、性別、ネットワーク、ユーザーID、ともだちリスト、また全員に公開しているすべての情報へのアクセス。

自分の基本情報と同様の情報へのアクセスを許可している。この事例の場合、アプリが友達の名前を使って診断を行うものであるので、この情報へのアクセスは必然性があると考えられる。

メールの送信

ユーザーのメールアドレスの情報を渡し、アプリの開発元がそのメールアドレスにメールを送信することを許可している。

Aさんがスパムメールが届くようになったことと関係している可能性がある。この事例の場合、開発元がメールアドレスを収集する必然性は少ないといえる。

ウォールへの投稿

自分のウォールにアプリが投稿をすることを許可している。

これを許可したため、アプリ利用後に自動的に診断結果がAさんのウォールに投稿されることになった。

どうして許可が求められるのか

Facebookアプリは、利用においてFacebookのユーザーIDなどが必要なため、ユーザーがアプリに初めてアクセスするときに、必ず認証を求めるようになっている。Facebookでは、OAuth Dialogによる認証を推奨しているため、多くのアプリがそれにのっとっている。

基本データやそれ以外の情報が必要なアプリは、この認証時にユーザーに許可を要求することになる。開発者が設定できるパラメータは、ここから確認することができる。

このパラメータを確認するとわかるが、ユーザー/友達の写真や動画、ユーザーの友達リクエスト、ユーザー/友達が参加するイベント情報、ユーザーのメールボックスやフレンドリクエストへのアクセスなど、さまざまな情報へのアクセスが論理的には可能になっていることがわかる。

Facebookは、開発者へのガイドラインとして、不要な情報へのアクセスの禁止や収集した情報の利用や譲渡の制限、ユーザーのプライバシー設定の尊重などを記載している。

アプリケーションの削除やブロック

もし、うっかりスパム的なアプリを許可してしまった場合、速やかに削除することが望ましい。また、該当アプリをブロックするのもよいだろう。

アプリの追加、表示、削除

アプリの情報へのアクセスの制限

本当の恐ろしさ:一度渡った情報の行方

ただし、アプリの削除だけでは問題が解決したわけではないことに注意したい。もちろん、アプリの削除とブロックを行えば、それ以降アプリがアクセスすることはできなくなる。

しかし、アプリの開発元が収集した情報を自分のデータベースなどに蓄積している可能性も十分考えられる。開発元が情報をどこまで蓄積しているのかはユーザーからは判断することができない。アプリの削除後も一度渡した情報が開発者側に蓄積されていることが明らかで、削除をしてもらいたい場合は、ユーザーが自分で直接アプリの開発元に連絡して交渉するしかない。一度渡った情報は、自分ではコントロールはできなくなってしまうのだ。

自分の情報だけならばともかく、友達の情報まで渡してしまう可能性もあるので、アプリを許可する場合は十分注意したい。

多少救いがあるとすれば、Facebookアプリでは、友達のメールアドレスを取得することはできないようになっている。友達のメールアドレスを取得するパラメータが用意されていないからだ。

さらに、Facebookとしては、アプリを通して収集した情報の売買や広告を禁止している。ただし、その規約を違反する悪質な業者もいるだろうことは想定するべきである。

まとめ:アプリの利用がFacebookでの個人情報管理の鍵

Facebookの利用において、登録する個人情報についてさまざまな場所で議論されている。解決策として、ユーザーがFacebook上の情報の公開範囲を設定することがあげられる。しかし、公開範囲を限定したとしても、アプリの利用時にアクセスを許可してしまえば、見知らぬ第三者に情報を提供してしまうことになる。

アプリの許可を求められたときに、何に対するアクセスの許可をしているのか、きちんと把握しておきたい。そして、必要以上の情報、友達の情報へのアクセスを求めれる場合は、利用をしないほうがいいだろう。特に友達の情報へのアクセス許可については十分注意する必要がある。

同時に、見知らぬユーザーからの友達リクエストの承認も慎重になったほうがよい。Facebookでは、無関係の人への友達リクエストを推奨していないが、時としてネット上でFacebookの友達を募集している人をみかけることがある。Facebookユーザーは、友達の人数が増えるのと同時に、その分自分の情報が見知らぬ第三者にわたる危険性、また自分が友達の情報をわたしてしまう危険性も増えているのだということを意識するべきだろう。

関連記事


この記事にコメントをどうぞ

Social Media Experience
記事提供
運営会社