ウィリアム・ギャラガー
· 2分で読めます
Facebook/Metaの本社の一つ
FacebookとInstagram全体で、Metaは5億人以上のユーザーのパスワードをプレーンテキストで保存しており、その一部は10年以上にわたって簡単に解読できる状態だった。
この問題は2019年に、Facebookが「数億」ものパスワードが暗号化されていない状態で保管されていたことを認めたことで初めて発覚しました。現在MetaとなっているFacebookは、パスワードは社外には公開されていないと説明しましたが、約2,000人のエンジニアがそのユーザーデータベースに対して約900万件のクエリを実行していたことも認めました。
アイルランドにおけるMetaの事業は、アイルランドデータ保護委員会(DPC)による5年間の調査を経て、ついに1億150万ドルの罰金を科せられました。この罰金は、欧州の厳格な一般データ保護規則(GDPR)に基づいて課せられます。
「ユーザーのパスワードは、そのようなデータへのアクセスによって生じる悪用リスクを考慮すると、平文で保存すべきではないことは広く認められています」と、DPCの副長官であるグラハム・ドイル氏は罰金に関する声明で述べた。「今回の件で検討対象となっているパスワードは、ユーザーのソーシャルメディアアカウントへのアクセスを可能にするため、特に機密性が高いことを念頭に置く必要があります。」
Meta Irelandは、GDPRの4つの条項に違反したとして有罪判決を受けました。その中には、「ユーザーのパスワードを平文で保存したことに関する個人データ漏洩について、DPCに通知しなかった」という点も含まれています。Meta Irelandはこの通知を怠ったことを報告しましたが、それは発覚から数か月後のことでした。
影響を受けたユーザー
罰金と正式な訓戒以外、DPCの判決の全容はまだ公表されていない。これまでに公表された情報では、パスワードに米国のユーザーだけでなく、アイルランドやその他のEU加盟国のユーザーのパスワードが含まれていたかどうかは明らかにされていない。
しかし、この問題は米国以外のユーザーのみに関係している可能性が高い。2019年、FacebookはCNNに対し、プレーンテキストパスワードの大部分は「Facebook Lite」と呼ばれるサービスのものだと語っていた。Facebookはこれを、接続速度が遅い地域向けの簡易サービスだと説明していた。
また、Metaは、GDPRに関する2023年のDPC判決に対しても別途控訴しており、この判決には米国のデータが含まれる可能性があります。MoneyCheckによると、 MetaはEUと米国間のユーザーデータの転送に関するデータ保護規則に違反したとして、13億ドルの罰金を科されたと報じられています。
Meta がセキュリティをどのように刷新したのかも不明だが、少なくとも一部のパスワードは 2012 年から暗号化されていない状態で保存されていたということだけはわかっている。
Metaに対する判決は、Facebookをめぐる数年にわたる様々なプライバシーおよびセキュリティスキャンダルに続くものです。この問題が初めて表面化する直前、Facebookは連邦当局の捜査を受けており、中でもケンブリッジ・アナリティカを含む他の企業とのデータ共有をめぐって捜査を受けていました。
