Last Updated on 2024-07-02 08:35 by admin

Metaは、アカウントの盗難リスクについて懸念を示しつつも、その問題はバグ報奨プログラムの対象外であり、電気通信事業者が対処すべきだと位置づけている。電気通信事業者が放棄された電話番号を再利用する実践は、アカウントの乗っ取りを可能にしており、この問題は2021年にプリンストン大学の研究者によって既に指摘されている。Metaは、プライバシーコンサルタントAlexander Hanffによるバグ報奨プログラムへの報告を拒否した。

電話番号の再利用は、アカウント乗っ取りのリスクを高めている。多くのオンラインサービスがユーザー識別や二要素認証に電話番号を使用しているため、電話番号を更新し忘れたユーザーは、古い番号を取得した者によるアカウントリセットの試みにより、アカウントを乗っ取られる可能性がある。

Alexander Hanffは、Metaにアカウント乗っ取りの問題を報告したが、その報告は受け入れられなかった。その後、Hanffは欧州の一般データ保護規則（GDPR）違反を理由にアイルランドのデータ保護委員会にMetaを報告した。Hanffは、Metaがリスクを無視しているわけではなく、セキュリティ設計の目的はリスクを軽減または排除することであると主張している。

【ニュース解説】

電話番号の再利用によるアカウント乗っ取りの問題が、再び注目を集めています。この問題は、電話番号を使用してユーザーを識別し、二要素認証を提供する多くのオンラインサービスにおいて、特に深刻です。ユーザーが電話番号を変更した際に、その情報を各サービスに更新しなければ、古い番号が新しい所有者に割り当てられた時、その新しい所有者が元のユーザーのアカウントにアクセスし、場合によっては乗っ取ることが可能になります。

Meta（旧Facebook）は、この問題について懸念を示しつつも、電話番号の再利用は電気通信事業者が対処すべき問題であり、自社のバグ報奨プログラムの対象外であるとの立場を取っています。これに対し、プライバシーコンサルタントのAlexander Hanff氏は、Metaにこの問題を報告しましたが、報告は受け入れられませんでした。その後、Hanff氏は、Metaが欧州の一般データ保護規則（GDPR）に違反しているとして、アイルランドのデータ保護委員会に報告しました。

この問題は、セキュリティとプライバシーの観点から重要です。電話番号の再利用によるアカウント乗っ取りは、個人情報の漏洩や不正利用につながる可能性があります。また、この問題は、オンラインサービス提供者と電気通信事業者の間で責任の所在が曖昧であることを示しています。

この問題に対処するためには、オンラインサービス提供者、電気通信事業者、そしてユーザー自身が協力して、電話番号の更新を含むアカウント情報の管理を徹底することが重要です。また、電話番号の再利用に関するポリシーを見直し、ユーザーが電話番号を変更した際には、古い番号を一定期間使用できないようにするなどの対策が考えられます。

長期的には、二要素認証の方法として電話番号SMSに依存することのリスクを減らし、より安全な認証方法への移行が求められます。例えば、アプリを使用した認証や物理的なセキュリティキーなど、電話番号に依存しない認証方法が挙げられます。このような変更は、ユーザーのセキュリティを強化し、アカウント乗っ取りのリスクを減少させることに寄与するでしょう。

from Meta says risk of account theft after phone number recycling isn't its problem to solve.

admin

See Full Bio