【AdGuardニュース】マスク氏vsアップル、Meta社員がアカウント乗っ取り、TwitterとWhatsAppがデータ流出か

AdGuardニュースダイジェストです。
今回の内容は、イーロン・マスクがApp Storeを批判、トラッキングツールが機密の金融情報をMetaに送信、Appleに対するトラッキング非難がエスカレート、WhatsAppがユーザーデータを流出させたかもしれない、数百万のTwitterユーザーの盗まれたデータが無料で入手できる、というニュースについてです。

イーロン・マスク、アップルの30％税と“検閲”に挑む

Twitterのイーロン・マスクCEOは、Appleとの確執を再燃させ、AppleがTwitter上のほぼすべての広告を停止したことを非難し、アプリ内課金から取られる30％手数料を批判した。
11月28日、マスク氏は、「AppleがTwitterをApp Storeから削除すると"脅した"」とツイートした。
別のツイートでマスク氏は、AppleがTwitter上での広告費を縮小することで言論の自由を支援できていないと非難した。

Photo: Brett Jordan/Unsplash

マスクは以前にも、App Storeの手数料をめぐってアップルと口論になったことがある。
5月にマスクは、30％は「本来あるべき手数料の10倍高い」と主張した。
マスクが改新されたTwitter Blueサブスクリプションのローンチを延期したことで、Appleに対する不満が高まっていたことも理由のひとつだと伝えられている。

しかし、AppleとTwitterの間に何らかの不満があったとしても、Musk氏はその週の終わりにAppleのTim Cook氏と会談した後、休戦を呼びかけた。
「とりわけ、TwitterがApp Storeから削除される可能性があるという誤解を解決しました」と言った。
Appleはその後、Twitterでの広告掲載を再開している。
Appleの30％税がMusk／Cook会談で議題になったかどうかは不明です。

また、マスクとクックは（少なくとも一時的には）和解したかもしれないが、iOS開発者がAppleに支払わなければならない厳しい手数料は、前から長い間問題になっている。
最近のAdGuard記事で説明したように、AppleとGoogleのアプリストアの優位性は、開発者とユーザーを同様に苦しめています。

Meta社員が「Oops」という社内ツールを使ってユーザーアカウントを乗っ取る

複数のMeta社員が、社内の秘密ツールでInstagramやFacebookのアカウントに入り込むための賄賂を受け取っていたことが判明した。
「Oops」（Online Operationsの略）と呼ばれるこのツールは、Metaの従業員や契約社員が、Metaのサポートに連絡しなくても、友人や家族のアカウントを復元できるように設計されたものだったそうです。
しかし、一部の社員や業者は、このショートカットへの特権的なアクセスを収益化することにしたようです。

『Wall Street Journal』の報道によると、彼らは、アカウントからロックアウトされた正規のユーザーだけでなく、ハッカーに対しても復旧サービスを提供していたという。

同紙は、一部の作業員や請負業者がFacebookアカウントのリセットのために「数千ドルの賄賂」を受け取ったとされる、と報じた。
興味深いことに、それらの労働者の中には、メタにセキュリティを提供することが仕事の者もいた。
Metaが内部調査を行った結果、20人以上が「懲戒または解雇」された。

Meta社がこれまでユーザーデータを誤って扱ってきた規模を考えると、同社がユーザーデータの安全性を確保したり、適切な顧客サービスに投資したりするよりも、ユーザーデータを収集することを重視していることは、以前から明らかだった。
このことと、不明瞭なモデレーションポリシーによって、Meta社の社員はどうやら鬼神のごとく振る舞うことができるようだ。
そのため、今年の初めには、OnlyFansのスターが、Instagramでのバンを解除するためにMetaの社員数名と寝たと主張したのだ。

Metaのトラッキングツールは、ユーザーの財務情報を... Metaに送信

もう当たり前といっていいほど、Metaは常にユーザーを追跡しています。
以前、病院のウェブサイトから機密の健康データをMetaに送信していることが判明した悪名高いトラッキングツール、Meta Pixelが再び話題になった。
今回は、このコードが、米国の複数の確定申告用ウェブサイトから金融情報をMetaに送信していることが判明したのだ。
送信された情報には、メールアドレス、名前、収入、還付金額、そして時には扶養家族の名前まで含まれていたことが、The Markupの調査により判明した。

Photo: Christin Hume/Unsplash

Meta社は不正行為を否定し、ウェブサイト所有者がツールを適切に設定しなかったことを非難している。
Meta社の広報担当者は、「広告主は、当社のビジネス・ツールを通じて、人々に関する機密情報を送信してはならない」と述べた。
Metaは、実際に機密データを検出できないようにするために、特別なフィルターを設置しているとも述べている。
この報道がなされて以来、いくつかの確定申告用ウェブサイトはMeta Pixelを削除し、中には、同ツールがフェイスブックにデータを送信していたことに気づかなかったと言うサイトもある。

Meta社は、誤ってデータを送ってしまったと主張しているが、Meta社の生命線はユーザーデータであり、それをターゲット広告に再利用することで、主な収入源としていることは注目に値する。
そのため、Metaの意に反してデータを送られた可能性があるというMetaによる保証は、少し信じづらいというところもある。

Apple、個人を特定できる情報を収集しないと約束したにもかかわらず、収集している

ソフトウェア会社Myskの独立系研究者は、Appleのネイティブアプリが同社に送信する情報には、ユーザーの名前、メールアドレス、電話番号と結びついた永久ID番号が含まれていることを発見した。
これは、「収集された情報はどれも個人を特定するものではない」と明記しているAppleのプライバシーポリシーに反している。

研究者は、ユーザーがAppleの追跡からオプトアウトする方法がないことを指摘しています。
「これらの詳細な分析はすべて、あなたに直接リンクされることになります。そして、それをオフにする方法がないため、問題です」と、研究者のTommy MyskはGizmodoに語った。
以前、同じ研究者が、ユーザーが「iPhone Analyticsを共有する」を含むすべてのパーソナライズオプションを無効にしている場合でも、Appleは詳細なリアルタイム使用データを収集し続けていることを発見しました。
Appleは現在、プライバシー設定でユーザーを欺いているとされることで集団訴訟に直面しています。

アップルは長い間、プライバシーを優先すると主張してきた。
しかし、プライバシーの旗手としてのその評判には、最近になってますます亀裂が入ってきている。
専門家たちは、Appleがトラッキングに関して、メタのようなサードパーティに課すのと同じ基準を自分に課しているのかどうか、疑問を呈している。
そして、Appleが独自の広告帝国を築き上げると、こうしたプライバシーに関する懸念は強まるばかりだ。

5億人のWhatsAppユーザーの電話番号を売っている人がいる...かもしれない

あるハッカーが、4億8700万件のWhatsAppユーザーの携帯電話番号を含む最新のデータベースを販売していると主張している。
データベースから米国と英国の電話番号のサンプルを調査したCybernewsのレポートによると、この主張は「おそらく」真実であるとのことです。
悪者は、このデータセットには84カ国の住民の電話番号が含まれていると主張している。
Cybernewsは、このデータは実際のハッキングではなく、スクレイピングによって入手された可能性が高いと推測しています。

WhatsAppは、データ流出があったことを否定している。
同社の広報担当者は、Cybernewsが販売者に連絡を取ったと述べているにもかかわらず、この報道は「根拠のないスクリーンショットに基づくもの」であると述べている。

この報道が事実かどうかは別として、WhatsAppは定期的にセキュリティの脆弱性に悩まされていることが知られている。
少し前、WhatsAppのライバルであるTelegramのCEO、Pavel Durov が、WhatsAppの最近のセキュリティ問題についての報告に反応する中で、WhatsAppを 「監視ツール」と呼んだことがある。
ハッカーがWhatsAppユーザーのスマホ内の全てに「フルアクセス」できるようになる可能性があった問題でした。
また、WhatsApp自体がユーザーの電話番号を含む暗号化されていない膨大な量のメタデータを収集し、Metaや警察と共有できることも周知の事実です。

Twitterのユーザー記録540万件以上がダークウェブで無料配布

ユーザーデータを現金化しようとする悪者がいる一方で、無料で提供する悪者もいる。
Twitterのユーザー記録540万件を含む大規模なデータセットが、ハッカーフォーラムに投稿されていると、Bleeping Computerが報じた。
このデータセットには、Twitterのログイン名、名前、場所、IDに加え、ユーザーの電話番号やメールアドレスが含まれている。
以前、同じものが3万ドルで売りに出され宣伝されていた。

データは2021年12月にTwitterのセキュリティ脆弱性によって掻き集められたが、その後パッチで修正された。
しかし、この問題は、以前考えられていたよりもはるかに深刻であるようにとられている。
セキュリティ研究者のChad Loder氏によって、1700万件以上の記録からなるとされる、より大規模なTwitter漏洩データが発見されたのです。
この流出内容に含まれるデータは、540万件のデータセットとは異なるようです。
アイルランドのプライバシー監視機関は、この情報漏洩の疑いについて調査を開始した。

Twitterは、とっくに修正された脆弱性の影響にまだ悩まされていると推測できる。
さらに、同プラットフォームのセキュリティとプライバシーのトップ幹部の何人かが、イーロン・マスクのTwitter買収を受けて辞任していることもあまりいいとは言えない。
Musk氏がTwitterのセキュリティとプライバシーを守るために真剣な措置を取らない限り、このような事件はおそらく最後にならないでしょう。
内在するリスクは、Twitterが多くの個人情報を収集し、それを誤用することがあったということです。