• GIZMODO
  • DIGIDAY
  • gene
  • cafeglobe
  • MYLOHAS
  • Glitty
  • machi-ya
  • roomie
  • GIZMODO
  • DIGIDAY
  • gene
  • cafeglobe
  • MYLOHAS
  • Glitty
  • machi-ya
  • roomie

佐藤ゆき佐藤ゆき  - ,,  08:00 PM

Facebookで一番やっちゃいけないハッキングをした男。でも実は正義の味方でした

Facebookで一番やっちゃいけないハッキングをした男。でも実は正義の味方でした

Facebookで一番やっちゃいけないハッキングをした男。でも実は正義の味方でした


Facebookにはバグ発見者に対して500USドル以上の報奨金を支払うという制度が存在します。ハッカーによるバグの悪用を防ぎ、逆にバグを発見してもらうために設けられている制度です。しかし、先日セキュリティのバグを発見したKhalil Shreateh氏が得たのは、報奨金ではなく「アカウント一時利用停止」という措置でした。

彼はFacebookのCEO、マーク・ザッカーバーグ氏本人のFacebookアカウントに侵入し、バグの存在を全世界に向けて報告したのです!


ザッカーバーグ氏のFacebookのウォール上で、謝罪をしつつバグを報告


パレスチナ人のウェブ開発者でありハッカーでもあるShreateh氏は、先日ザッカーバーク氏のFacebookアカウントに侵入し、部外者の投稿が禁止されているはずのウォールに、「謝罪」から始まるメッセージを書き残しました。

「プライバシーに侵入してすみません...。他に選択肢がなかったんです...。Facebookにはこれまで何度も連絡しましたが」

そして、Shreateh氏はFacebookのセキュリティシステムにバグを発見したこと、またこれまで何度かFacebookにこのバグについて報告したものの、まともな回答が得られず無視されたことを書きました。

「読んでいただいて、ありがとうございました。御社の担当者からご連絡をいただけるとうれしいです」彼は、終始礼儀正しく、ハッキングメッセージをこのように締めくくりました。

謝罪しつつバグを報告するという、なんだかよく分からないこのメッセージ。Shreateh氏は一体なぜこのような行動に出たのでしょうか? 


Facebookに無視され続けたShreateh氏の報告


報告をする数日前、セキュリティの設定で禁止していても、Facebook上でつながっていない他人のウォールに投稿ができてしまうというバグを発見したShreateh氏。「Whitehat」というFacebookがバグを発見した人向けに設置している窓口にメールを送りました。

冒頭での説明した通り、Facebookはバグを発見した人に対して500USドル以上の報奨金を与えるシステムをとっています。


友達ではないSarah Goodin氏のウォールに投稿できたことを報告

彼はWhitehatに宛てたメールで、バグを発見したこと、そして実際に「友達」でないにも関わらずSarah Goodin氏のウォールに投稿できたことを、証拠のリンクとともに送信しました。

Goodin氏はザッカーバーグ氏の友人であり、女性として初めてFacebookに登録した人として知られています。

しかし、これに対してShreateh氏がFacebookから得た返事は「Khalilさん。リンクをクリックしましたが、エラーになって何も見れませんでした。では」というあっさりしたものでした。


Facebookとのやりとりを自分のブログで公開・YouTubeにも証拠をアップ

納得のいかないShreateh氏。彼は、このやりとりを自分のブログで公開し、さらに実際にSarah Goodin氏のページにアクセスしたことを証明するスクリーンショットをブログで公開します。

また、本来はアクセスできないはずのFacebookのページにアクセスできたことを示す動画をYouTube上で公開し、ウェブ上でこのバグの存在を知らしめます。


「マークのウォールにだって投稿できる」と最後通告を出す


「マークのウォールにだって投稿できる」と最後通告を出す


その後も彼はFacebookに訴え続けます。「あなたがGoodin氏の友達リストに入っていないから、見られないのですよ。僕のためにテスト用のアカウントを作ってください。あなたの友達リストに僕が入っていなくても、あなたのウォールに投稿することができます」

彼はこうも書きました。「マーク(注:ザッカーバーグ氏のこと)のウォールにだって投稿できます。でもやりません。プライバシーを尊重したいから」

しかし、これに対してもFacebookの担当者は「申し訳ないですが、これはバグではありません」と返信。しびれを切らしたShreateh氏は、最後通告を出しました。

「分かりました。仕方がないので、マークのFacebook上でこのことを報告します」

このあと、最初に書いたとおり、Shreateh氏はザッカーバーグ氏本人のウォールに投稿するに至ったのです。


「サービス規約」に反しているため、報奨金はなし


Facebookは、さすがにこの行動には即座に対応します。数分後には、Facebookのセキュリティ担当者がShreateh氏に事の詳細をすべて教えてほしいと連絡。そして、直後にShreateh氏のFacebookアカウントは「予防措置」として一時利用停止処分を受けたのでした。

本来ならばバグ発見者には最低500USドルの報奨金が支払われるはず。しかし、Hacker Newsの報道によれば、Shreateh氏がザッカーバーグ氏とGoodin氏のアカウントに投稿した行為はサービス利用規約に違反しているため、報酬は与えられないそうです。

Shreateh氏の行為は「他人のプライバシーを侵害しないように努めること」そして「バグを調査するときにはテスト用のアカウントを使用すること」という規約に違反している、というのがFacebook側の説明です。


Shreateh氏がとった行動に対して分かれる評価


今回、Shreateh氏がとった行動は世界中で大きな注目を集めています。ザッカーバーグ氏本人のFacebookページをハッキングしたという大胆な行動はさることながら、その行動の正当性をめぐってもさまざまな意見が噴出しています。

Shreateh氏の行動を批判する人は、彼が技術的な情報の詳細をFacebookに与えていなかったこと、そして規約に則った手順を踏まなかったことを指摘しています。

この批判に対しては賛同意見が多いものの、一方で「それ以上に愚かなのはFacebook」という声が噴出しているのも確かです。Shreateh氏の最初の指摘を受けても、さらに詳細情報を求めなかったこと、バグが存在する可能性を無視したことを批判しています。Facebookの信条でもある「すばやく行動し、問題を解決しろ」は一体どこにいったのか、という皮肉る人も。

また、何百万人ものユーザーに影響を与えうる重大なバグを見つけ、それを悪用することなく適切な窓口へと通報したShreateh氏の行為を讃える声もあがっています。

バグを見つけてFacebookに通報したにも関わらず、500USドルという報奨金の代わりに、アカウント一時停止処分をくらったShreateh氏。なお、Facebook側は、将来また彼からの通報があった際には「規約に従ってさえいれば、報奨金を支払います」とメディアに話しているそうです。


facebook vulnerability 2013 | Khalil
Palestinian apologizes for hacking Zuckerberg's Facebook page | The Jerusalem Post
The Questionable Wisdom of Hacking Mark Zuckerberg's Facebook Account to Make a Point | Bloomberg Businessweek
No Bounty for Zuckerberg Page Hacker, Facebook Says | Tech News World

(佐藤ゆき)

MORE FROM LIFEHACKER

powered by
    
    
    
  

Kotaku

Recommended

© mediagene Inc.