ITmedia NEWS > セキュリティ >
セキュリティ・ホットトピックス

Facebookアプリのユーザー情報送信、その原因は

» 2010年10月19日 14時30分 公開
[Brian Prince,eWEEK]
eWEEK

 米Facebookがプライバシーをめぐり、再び批判の矢面に立たされている。

 今回の問題の発端はWall Street Journal(WSJ)の報道だ。同紙の報道により、多くのFacebookアプリケーションがユーザー情報を広告ネットワークやユーザー追跡企業に転送していることが明らかになったのだ。同紙によると、Facebookでも特に人気の高い、Mafia WarsやFarmVille、Texas HoldEm Pokerといったアプリケーションも、FacebookのユーザーIDを部外者に転送しているという。

 こうして転送された情報は、Facebookユーザーの名前のほか、ユーザーが公開を許可しているそのほかあらゆる情報を調べるのに利用できる。また記事によると、一部のケースでは、そうした情報にはユーザーの友人のFacebook IDも含まれていたという。

 WSJに名指しされた企業の中には、ユーザーの行動調査を専門としているRapleafも含まれていた。Rapleafの説明によると、同社と連動するアプリケーションによって、FacebookのIDが広告ネットワークに渡っていることが分かった時点で、同社はただちに「この転送を阻止するための措置を講じた」という。

 「Rapleafのサービスを利用することでFacebookのIDが広告ネットワークに渡るということは、先週の時点で一切起こらないようになっている」と同社のブログには記されている。

 Rapleafはインターネットユーザーのデータベースの構築と販売を手がけているが、WSJによると、同社はFacebookのアプリケーションを介して入手したFacebookのユーザーIDをそうしたデータベースにリンクさせていたほか、それらのユーザーIDを十数社の企業に転送していたという。Rapleafによると、この問題の根本的な原因はHTTPリファラにあるという。

 Rapleafはブログで次のように説明している。「これはログイン方式のサイト全般にあてはまることだが、ユーザーのログインIDを記録しているサイトは、アクセスしてくるユーザーがそれ以前にアクセスしたほかのWebページのリファラURLを受け取ることがある。例えば、ある病状に関するWebページにアクセスしたユーザーが、そのページ上のリンクを経由して、そのユーザーのログインIDを記録しているサイトに移動した場合、そのサイトは“そのユーザーのログインID”と“ある特定の病状に関するWebページにアクセスしたという事実”とを関連付けることができてしまう」

 Rapleafによれば、Webサイトが外部のサイトへリンクを貼るときには、個人を識別できる情報がリファラURLに含まれないよう各自で留意する必要があるという。

 「さらにわれわれは、リファラURLに関連したプライバシーのリスクに十分に対処できているかどうかについても、もっとしっかり検討する必要がある。リファラURLは、ほとんどのWebサイトでは、例えば、統計的な用途やホットリンクによる帯域幅流用の予防など、建設的な用途に使われている」とさらに同社のブログには記されている。

 一方、Facebookによれば、今回の問題は誇張されているという。なぜなら、ユーザーの非公開情報は一切露出されていないからだ。

 「ユーザーデータの保護に関するわれわれのポリシーは非常に明確であり、ユーザーの明示的な同意なしには誰もユーザーの個人情報にはアクセスできないようになっている。さらには、開発者もユーザーの情報を広告ネットワークやデータ仲介業者に公開することはできない。われわれはこのポリシーを徹底すべく、違反しているアプリケーションは一時停止あるいは使用不能にするなど、強硬な手段を取っている」とFacebookのエンジニアであるマイク・バーナル氏はブログに記している。

 同氏によると、ほとんどの場合、開発者は意図的にユーザーのIDを渡したわけではなく、「ブラウザ機能の技術的詳細」の影響で結果的にそうなってしまったのだという。

 記事によると、WSJが確認したアプリケーションはFacebookのIDを少なくとも25社の広告会社やデータ会社に送信しており、その中には、ユーザーのオンラインの行動を追跡することによってユーザーのプロフィールを構築している会社もあったという。

 Facebookのバーナル氏によると、同社はWSJが今年5月に指摘した同様の問題には既に対処したという。「ただし、今回のほうが技術的には難しい問題だ」と同氏。今年5月には、Facebookで広告をクリックしたユーザーのIDがブラウザを介してFacebookの広告主に送られるケースがあることが明らかになった。

 「われわれは目下、主要なパートナーおよび広範なWebコミュニティーと解決策について話し合っているところだ。数日以内に詳細がまとまるだろう」とバーナル氏はブログに記している。

Editorial items that were originally published in the U.S. Edition of “eWEEK” are the copyrighted property of Ziff Davis Enterprise Inc. Copyright (c) 2011. All Rights Reserved.