Facebookから5億人超のユーザー個人情報が漏洩

ブログ

*本記事は2021年4月12日にNTT Ltd. 社 Danika Blessman が同社ブログに投稿した記事の抄訳です。

元記事：Over half a billion Facebook users’ personal information leaked

1 しのびよる脅威
2 ビジネスに役立つヒント
3 NTT Com DDが提供しているセキュリティソリューション

しのびよる脅威

イースター休暇の週末に、イスラエルのサイバーセキュリティ会社の研究者が、電話番号、生年月日、電子メールアドレス、場所など、5億人を超えるFacebookユーザーの個人情報（PII）がオンラインで漏洩したことを発見しました。この漏洩は、100か国以上のユーザーに影響を及ぼしているようです。

影響を受けるユーザーの数が最も多いのは、米国（3,200万人）、英国（1,100万人）、インド（600万人）です。 Business Insiderからの最初の報告によると、週末に5億3300万人を超えるFacebookユーザーの個人情報がハッキングフォーラムにアップロードされました。今年の初め、報告によると、同じ情報がハッキングフォーラムで売りに出されていました。 Facebookは、データ漏えいはプラットフォームの侵害ではなく「スクレイピング」※の結果であると述べました。

※「スクレイピング」とは、Webからデータを抽出し、Web上のデータをデータベースやスプレッドシートに格納・分析可能な構造化データへ変換するコンピュータソフトウェア技術のこと。

Facebookからの個人情報の漏洩は、フィッシング攻撃のエスカレーションにつながる可能性があります数年前に漏洩したFacebookのデータは、現在、オープンWebで無料で入手できます。組織の主要な資産はデータであり、そのデータは組織だけでなく、最初の脅威アクターにとっても価値があります（盗まれたデータは多くの場合、ある犯罪グループから別の犯罪グループに渡されます）。攻撃者が特定の組織を標的にしている場合（おそらくサプライチェーンやサードパーティの攻撃を介して）、電子メールアドレスや電話番号を知っているだけでソーシャルエンジニアリング攻撃を簡単にサポートできます。

Facebookは個人のソーシャルメディアで使用するだけでなく、多くの企業のオンラインデジタルプレゼンスもサポートしているため、影響は個人のアカウントの詳細だけでなく、はるかに広範囲に及ぶ可能性があります。 Facebookは、2016年に開示された脆弱性を利用して攻撃者がデータを収集したと報告しました。これは、Facebookによると、2019年に修正されたとのことです。漏洩したデータは数年前のもののようですが、データが最新のものでないからといって、脅威アクターによる利用が妨げられることはありません。

多くのユーザーは、それ以降、連絡先情報を変更していない可能性があり、潜在的なフィッシングリスクに対して脆弱なままです。セキュリティの観点から、個人と組織は同様に、データがすでに公開されていることを認識し、フィッシングや詐欺の可能性に注意を払う必要があります。さらに、このタイプのPIIの漏洩は、ロボコールまたはスパムテキストメッセージの増加につながる可能性があります。これらは両方ともすでに重大な問題であり、影響を受けるユーザーまたは組織がさらなる情報を明らかにする可能性があります。今回の情報漏洩で公開されたPIIは、クレジットカード情報や社会保障番号ほど価値はありませんが、サイバー攻撃を有利なものにするでしょう。