「Facebook」タグアーカイブ

Fuzzify.me – フェイスブックでどんな広告のターゲットにされてるか一覧・管理できるブラウザ拡張

オープンソースのブラウザ拡張fuzzify.meは、Facebook が表示するターゲット広告の種類や内容を把握しやすくし、必要であればターゲットから自分を外すこともできるツールです。Mozillaフェローのハン・ド・チー・ダックさん(Hang Do Thi Duc)らが開発・公開したものです。

拡張は Firefox 向けと Chrome 向けが提供されていて、GitHub でソースコードも公開されています。拡張機能のインストールには、Facebook にアクセスした時の情報を与える必要がありますが、これは機能を考えると仕方のないところでしょう。

広告ブロッカーが入ってると動きません。また、シークレットモードでも動作しません。

拡張を入れてからフェイスブックを開くと、広告の上下に紫の線が表示されます。

数分間フェイスブックのタイムラインを眺めてからFuzzify.me のボタンを押すと、専用のタブが開き、表示された広告がずらずらと列挙されます。

それがターゲット広告であれば、広告のスポンサー名や写真・本文の他に、「フェイスブックがこの広告を自分向けに表示した理由」がグレーのボックス内に表示されます。たとえば「プロフィールや位置情報から、日本に住む18歳~60歳と判断して出した」「likeしたページやクリックした広告の種類から、テクノロジーに興味があると判断して出した」といったもの。

これらのターゲット化の根拠情報は、実は通常のFacebookサイト上で、広告の右上のメニューから「このメッセージが表示される理由」を選べば読めるものです。

この拡張機能が何か特別なことをして読めるデータというわけではないのですが、自分でどれが広告か認識し、メニューからわざわざ開いて見に行くのと、こうやって一覧して表示されるのでは、使い勝手は全く違うものになりますね。まあ、Facebook や広告主としてはあまりチェックしてほしい情報ではないのかもしれませんが。

拡張からは広告設定のページに飛び、複数の被ターゲット状態をチェックボックスでまとめて削除することもできるようになっています。

via Venture Beat

Wiredの「Facebookが顔写真認証をテスト中」は誤報のような気がする

これが発端のツイート、「フェイスブックにログインできなくなってると思ったら自撮り写真のアップロードを要求された」という体験なのですが、これをWired が取り上げて、フェイスブックが顔写真をCaptcha とした本人認証を実験中、みたいに報じ、他メディアもそれを参照する形で追ってるわけです。

しかし、7か月前にredditでまったく同じ体験が公開されていますし、フェイスブックのサポートコミュニティでも顔の映った写真をアップロードしろと出てきましたが、どうしてですか?というFAQ として公開されています。

自分の写真をすでにたくさん上げているユーザーなら、それらと同一人物か判定することも今ならできなくはないでしょうけど、写真をアップロードしたかどうかに関わらずこれは発動している(どちらかというと、二つ目のアカウントを使おうとしたら、とか、家から遠く離れたところでログインしようとしたら、とかの事例が多い)ので、AIで本人確認とかそういう高度な話ではなく、免許証のコピーをアップロードさせるとかと同じく、「スパマーやなりすましなら時間をかけて対応してこないだろう」という、以前からやってる人力確認の話ではないかなと思うんですよね。

「あなたの友達を助けて」でFacebookアカウントを乗っ取る攻撃

Accessnow が新種のフェイスブック乗っ取り攻撃の流行を警告しています。

今回流行している手法は、Facebook のヘルプにもある、「信頼できる連絡先」を使ったアカウントへのアクセス回復機能の真似をするというもの。

これは、Facebook 上で選んでおいた信頼できる友人/連絡先の協力を得て、パスワード忘れなどの時にアカウントに再アクセスするというものです。今回の攻撃は、この機能を使っている「かのように」見せかけることで別の重大な情報を奪取しようとします。

手順が図で紹介されています。

  1. 攻撃者はまず、ターゲットの知り合いのアカウントを(例えば今回の手法で)乗っ取ります
  2. 次に、ターゲットのアカウントの復活を Facebook 上で申請します
  3. Facebook は2段階認証のため、ターゲットに SMS を送ります
  4. 同時に、(1の)ターゲットの知り合いアカウントから、「アカウント復活にそのコードが必要」とメッセージします
  5. ターゲットは、SMS のコードが(自分のアカウントの再設定用ではなく)知り合いのアカウントを復活させるために必要と信じ、コードをその友人にメッセージします
  6. 攻撃者は SMS のコードを使ってターゲットの Facebook アカウントを奪取できます
  7. 攻撃者は、乗っ取ったターゲットのアカウントを使ってターゲットの知り合いに1.から同じ攻撃を繰り返します

今はまだ英語による攻撃が流行しつつある状態だそうですが、同じことは日本語でも当然できてしまうので、近いうちに同様の攻撃が届くかもしれません。

信頼できる連絡先を使ってのアカウント回復では、数名の友人にバラバラにコードが送られて繋げて使うのですが、回復に使うコードがどんなものか知らなかったり、以前に経験していても忘れてしまったりするでしょうから、友達からタイミング良く偽メッセージが来たら、うっかり教えてしまう人もいるでしょうね。

知ってると知ってないでは騙されやすさもかなり違うと思うので紹介しました。

トランプ大統領夫人のメールアドレスをFacebookから探し当てたハッカーの手法

ベルギーの「倫理的な」ハッカーが、フェイスブックのアカウント回復フォームを使って、メラニア・トランプ大統領夫人のメールアドレスを特定し、メールを送った、というニュースです。

ベルギー北部の人口8万人の町アールストを愛する Inti De Ceukelaire さん(@intidc)は、トランプ大統領のベルギー訪問にあわせて、夫人に「ベルギーのラスベガス、ただし金持ちとカジノとホテルは無い」アールストを訪問することを薦めたメールを送ったそうです。

昔からある「メールアドレスからFacebookアカウントを見つける」話ではなく、「Facebookアカウントを持ってる人のメールアドレスを当てる」話です。

必ずアドレスがわかるわけではなく、人によってはアドレスがわかってしまうかもしれないヒントが得られるということなのですが、その手順はこんな感じ。

ログインしてない状態で、「アカウントを忘れた場合」をクリックします

「アカウントを検索するには、メールアドレスまたは電話番号を入力してください。」と言われるのですが、ここでメールでも電話番号でもなく、名前を入れます。

そうすると、合致したり似ているユーザーが出てくるので、

ターゲットを選ぶと、こんな風に、アスタリスクで色々隠されたメールアドレスが表示されるというわけ。

ドメイン名の方は、@gmail.com などだとそのまま表示されるようですし、@y****.c*.jp みたいに隠されていても、よくある無料メールのドメインなら「あ、@yahoo.co.jp だなこれ」とわかることもあるでしょう。

アカウント名の方はというと、 c******8@ みたいに、先頭と最後の文字が表示されるようです。

メラニア夫人のメールアドレスがどんなものだったか、は@intidc さんもモザイクで隠しているのですが、当てることができたということは、ドメインはトランプ氏の関連のものかアメリカ政府関係のものか、あるいはgmail や yahoo mail 等のメジャーなものだったのかもしれません。

そして、アカウント名の方も、たとえば m*****a@ みたいな名前そのままとか、m*******1@ のように名前+数字数桁、が推測できるようなものだったのかもしれません。@intidc さんはスクリプトを回してメールが届くアドレスを探したようなので、後者のように総当たり可能なレベルで明らかなアカウント名だったのでしょうか。

名前等から推測できず、同じ人がツイッターやインスタグラム等別のサービスで使っているアカウントと同一でもなく、極端に短く(3文字で先頭と最後がばれたら後は簡単です)もなければ、必ずメールアドレスがばれる、という話ではなさそうですが、人によっては隠しているつもりのアドレスがまったく知らない他人に推測されてしまうこともありそうです。

via HLN.be via TheNextWeb

Facebook、バグによってCEOマーク・ザッカーバーグ氏の死亡を伝える

このバグはひどい

創業者ザッカーバーグ氏をはじめ、複数の有名人のFacebookプロフィール上が「追悼アカウント」とされ、故人を悼むメッセージが表示されていたということです。

マークを愛した人々が、共有された追憶と称賛で心慰められるよう願います。

We hope people who love Mark will find comfort in the things others share to remember and celebrate his life.

「何人が若死にした? 僕も死んだよ」という人も。

有名人や自社の社長だから騒ぎになってすぐ訂正されましたが、もしかしたら一般人でFacebookに殺されたままの人というのも、もしかしたらいるのかもしれないですね。

フェイスブックCEOマーク・ザッカーバーグ氏のプライバシー防衛術

Facebook社が大金をはたいて買収した、スマートフォン写真共有サービス Instagram の月間ユーザー利用数5億人突破したということで、Facebook 創業者でCEOでもあるマーク・ザッカーバーグ氏がFacebookアカウントで祝意を寄せています。

この写真を見てChris Olsonさん(@topherolson)がツイッター上で指摘したのは、ザッカーバーグ氏の使っているラップトップの様子。

  • カメラがテープで塞がれている
  • マイクがテープで塞がれている
  • メールクライアントは Thunderbird

zuckerberg-laptop-with-camera-taped

ソーシャルでの写真の共有を、そして最近は動画の共有を強力に推進しているフェイスブックの長としてどうなんだ、という話もあるでしょうけど、常に注目される富豪&有名人としては、身の回りの情報が間違っても他者に収集されないように気を配る必要があるのかもしれませんね。

セキュリティのチェックをしてくれる有能なスタッフがまわりにたくさんいるであろう氏がここまでの注意を払っているのですから、大事な情報を扱っている人はラップトップやスマートフォン等のカメラやマイクは塞いで置くことも検討したほうがいいのかもしれません。