TwitterやFacebookがユーザーの電話番号を広告に利用 SMSでの二要素認証に懸念：専門家は脆弱性を指摘

Twitterは、二要素認証（2FA）用の電話番号を、ユーザーの許諾なしにターゲティング広告に使用していたことを明らかにした。Facebookでも明らかになった電話番号の広告利用。その影響とは。

[Michael Heller，TechTarget]

　短文投稿サービスのTwitterは米国時間2019年10月8日、セキュリティ目的で取得したユーザー情報を「誤って」ターゲティング広告に使用していたことを公表した。これを受け、プライバシーに関する懸念が高まっている。

併せて読みたいお薦め記事

SNSのプライバシー問題

• Cambridge Analytica事件だけではない　「Facebook」の不祥事を振り返る
• ザッカーバーグCEOの「Facebookはプライバシーを重視」の約束は守られたのか

個人情報を扱うリスク

• 大手航空会社が「GDPR」違反で約240億円の罰金　制裁は正当か
• 患者の個人情報をスマホアプリで安全に扱う仕組みとは　「EASE」の例で確認
• GDPRはコラボツールにも大きな影響、気を付けるべき9つのポイントは

　Twitterはブログを通じてこの事実を報告した。それによると、2つの認証要素を組み合わせた二要素認証（2FA）などセキュリティ対策に利用する目的で入手したユーザーのメールアドレスと電話番号が、不注意でターゲティング広告に利用された可能性があることが判明したという。同社はブログ記事で以下（日本語版を引用）のように述べた。

　この事に伴い、どれだけ多くの方が影響を受けたか確実なことは言えないのですが、できる限り透明性を高めるために、すべての方にお知らせいたします。個人データは外部のTwitterパートナーおよび他のサードパーティには一度も共有されていません。9月17日時点で、Twitterは上記の問題の原因に対処いたしました。その後は、安全とセキュリティ上の目的で収集された電話番号やメールアドレスを、広告目的に一切使用しておりません。

　このようなことが起きてしまい、大変申し訳ありません。今後同じような誤りが起きないよう力を尽くしてまいります。

　2FA用情報を誤って使用していた期間について、Twitterは言及していない。その一方でTwitterの広報担当者は、問題の修正後公表までに3週間かかった理由について「問題を完全に修正できたこと、および当社サービスの他の部分への影響がないことを確認したかったため」と説明する。

　ある企業でセキュリティ責任者を務めるカテリーナ・ボロディナ氏をはじめとする情報セキュリティ専門家は、電話番号が不要な認証アプリケーションを使った2FAによる認証を勧めている。

　そうした認証アプリケーションを優先するように設定しても、Twitterの2FAを有効にするのに電話番号が必要になるという指摘もある。Twitterの広報担当者はこうした不満の声が出ていることを認め、「2FAの利用に電話番号を必須とする状態が理想的ではないことをわれわれは認識している。いずれは両者を切り離そうと取り組んでいる」と述べる。

Facebookもユーザーの電話番号を広告に利用