InstagramとFacebookの非公開アカウントで投稿した写真やビデオのプライバシーは、思いのほかプライバシーが守られていない。そのアカウントの友達やフォロワーなら、簡単なある迂回策を使えば、プライベートなはずの写真でもアクセス、ダウンロード、シェアできてしまうのだ。
Instagramのフィードだけでなくストーリーにも使えるこの手口は、HTMLとウェブブラウザーに関する初歩的な知識があれば使える。作業も数クリックで済んでしまう。
具体的には、ページに表示された操作対象の写真とイメージをちょっと調べて、それらのURLを手に入れればよい。このURLは、Instagramにログインしていない人にも、非公開アカウントをフォローしていないユーザーにもシェアできる。
BuzzFeedのTech+News Working Groupが試したところ、非公開アカウントのフィードとストーリーに投稿されたJPEG画像とMP4ビデオの表示、ダウンロード、外部へのシェアがこの方法で実行できた。
Facebookの広報担当者は、「説明された操作は、FacebookやInstagramに掲載された友達の写真をスクリーンショットで画像化し、それをほかの人に共有するのと同じことです。非公開アカウントへのアクセスを許してはいません」とBuzzFeed Newsに回答した。
実際にはそうでない。2つの操作は違う。ウェブページに表示された非公開画像のスクリーンショットが取れることと、非公開画像のURLをアクセス権のない人へ容易にシェアして公開できてしまうことでは、意味が異なる。
この手口は、投稿から24時間で消去されて見えなくなるはずの、非公開Instagramストーリーの写真とビデオにも機能する。ストーリーから取得したURLは、2日経過してもアクセスできるようだ。
フィードの写真に対するURLは、もっと長い期間アクセスできる可能性がある。消去済みストーリーの写真も同じようにアクセス可能らしい。
InstagramのデータはすべてFacebook独自のコンテンツ配信ネットワーク(CDN)でホスティングされているので、同じ手口がFacebookの非公開コンテンツにも通用する。そうしたコンテンツのURLを取得した友達やフォロワーは、友達でもなくフォロワーでもないユーザーに、URLを教えてコンテンツをシェアできる。
なお、Instagramの場合、アプリでアクセスされたコンテンツは誰に見られたか分かるのだが、URLで外部からアクセスされたコンテンツの閲覧者は記録されないので、注意が必要だ。
つまり、非公開の写真やビデオに対するURLが許可なく外部にシェアされてしまうと、誰が見たのか、何人見たのかが調べられない。
フォローしている非公開アカウントのスクリーンショットをただ取るのと、この手口とは、いくつかの点で違いがある。
まず、シェアされるURLには、対象の写真やビデオに関する基本的な情報が含まれていて、どのようにアップロードされたかや、写真のサイズなどが読み取れる。
そして、偽造されたコンテンツでなく、本物だという証明にもなってしまう。そのうえ、ユーザーがプロフィールから写真やビデオを削除しても、FacebookのCDNには残っていて、アクセスできる状態なのだ。
明確に非公開と指定した写真やビデオが易々とアクセスされて外部へシェアできてしまう現状は、Facebookがプライバシー保護で失敗を続けていることを考えると、実にひどい話だ。
なにせCEOのマーク・ザッカーバーグ氏は2019年初頭、2018年に起きた大統領選挙絡みの不祥事と、大量のデータ流出を受け、「SNSを運営するためのプライバシーに主眼を置いた方針」を表明し、プライバシーに関する約束をしていた。
ザッカーバーグ氏は、「Facebookには、ユーザーのデータを守る責任があります。守れないなら、サービスを運営する資格がありません」と2018年に書いている。
ビジネス系メディアのQuartzは、Instagramの非公開コンテンツに同様の欠陥があることを2015年に見つけていた。Quartzの調査によると、公開アカウントのユーザーがInstagramに投稿した写真はウェブブラウザーで外部から閲覧可能なのだが、アカウントが非公開に変更されてもそのままだったという。
当時QuartzがInstagramに問い合わせたところ、広報担当者から以下の回答があった。
「いただいた情報を調査し、修正を施しました。これにより、アカウントを公開から非公開に変更した場合、ほかのサービスで共有されていないウェブ用リンクが見られるのは、Instagramのフォロワーだけになりました」
この記事は英語から翻訳・編集しました。翻訳:佐藤信彦 / 編集:BuzzFeed Japan