検索
特集/連載

ソーシャルメディアの偽アカウントを巡る問題サービスに問われる対応能力

各種ソーシャルメディアで正規アカウントを模倣した偽アカウントが問題になっている。さまざまな事情が解決を困難にし、被害者を苦悩させている。一体何が問題なのか。

Share
Tweet
LINE
Hatena

 2022年初め、フリーランスモデルのエル・ジョーンズ氏は、「ジョーンズ氏と称する人物から連絡があった」と知人から知らされた。調べてみると、ジョーンズ氏の「Instagram」アカウントを模倣したアカウントでポルノコンテンツが提供されているのを発見した。ジョーンズ氏はInstagramにこの件を報告したが、「このアカウントは削除されなかった」という自動返信を2日後に受け取った。ジョーンズ氏はInstagramにメールを送って異議を唱え、その2日後にようやく問題のアカウントが削除された。

 このような体験をしたのはジョーンズ氏だけではない。作家のジョー・ダンソーン氏は、同氏のInstagram IDが人々に暗号通貨の購入を勧める手口に悪用された。

 アーティスト兼コスプレイヤーのジュリエッタ・ザワツキー氏は、2022年初めに「Twitter」のアカウントが複製され、ポルノの販売に悪用された。

 なりすましは企業も標的になっている。2020年、Little Soap Companyの偽アカウントが作られた。同社のオンラインコンペの参加者は、偽アカウントからコンペに勝ったと知らされ、PayPalの詳細情報の提示を要求された。

 社会のデジタル化が進むにつれて、不正なアカウントも増えている。不正アカウントは誤った情報の流布、不正なリンクの共有、商品の販売、口座情報の不正入手に使われる。

 「他人のアカウントを作成して複製し、そのID(人、企業、機関)を盗んだり、そのアカウントを使って情報の入手、金銭の強要、誤った情報の流布をしたりするのは実に簡単だ」と語るのは、ポーランドのブロツワフ科学技術大学のピョートル・ブロトカ氏(人工知能学部教授)だ。

 こうしたソーシャルエンジニアリング攻撃の影響は、すぐに損失が生じる攻撃よりも大きく広がる。アカウントを複製された人物がなりすましによる行動に結び付けられ、評判を落とす可能性がある。「大きな問題は、人へのダメージだ。その人が友人からどのように見られるか、誤った情報にどの程度傷つくかは見た目では分からない」(ブロトカ氏)

 マデレーヌ・ハンソン氏(コンサルタント)は言う。「ライバルアカウントが設定されているクライアントをTwitterで数多く目にする。アカウントを設定した人物は、『元のアカウントがハッキングされた』『パスワードを覚えていない』と言いながら、NFT(非代替性トークン)や暗号通貨についてのレコメンデーションを公開する」

サービスにも及ぶ問題

 こうしたインシデントの増加によって、ソーシャルメディアがユーザーを保護する能力への信頼も失われかねない。IDの盗難に脆弱(ぜいじゃく)なサービスの使用を制限したり、より安全なサービスに切り替えたりするなど、ユーザーの習慣が変わる可能性がある。

 「Instagramで問題が生じて以来、自分のプロフィールを非公開アカウントに切り替えた。以前はビジネスアカウントだったが、非公開アカウントにすることでフォロワーになりたい人を確認できる」(ジョーンズ氏)

 ソーシャルメディアのID盗難に関する問題の一つは、報告メカニズムが限られていることだ。ソーシャルメディアのサポートチームには多数の要請が寄せられるため、報告を見落とす可能性がある。偽アカウントを報告する際、通常はそのアカウントをブロックするオプションがある。当然ながら、偽アカウントが本来のアカウントをブロックすることも可能だ。そのため、偽アカウントのアクティビティーが分かりにくくなる。

 多くの場合、報告が受理されるのに数日かかる。その上、何らかの措置が取られる保証はない。ジョーンズ氏は、偽アカウントが削除されるまで4日以上待たされた。ザワツキー氏を模倣したTwitterアカウントは、現在に至るまで放置されている。

 被害者が取れる法的措置も限られている。加害者の行動によって被害者の金銭が失われた場合のみ犯罪と見なされる。つまり、加害者が被害者のIDを悪用して稼いだ金銭は関係ない。

 さらに、偽アカウントのアクティビティーによって収益が失われたことを証明する必要がある。評判の失墜を経済的損失と同一視するのは難しいと考えられる。「名誉毀損(きそん)法は改正する必要がある。他人になりすまして情報を入手したり、詐欺に巻き込んだりする犯罪にもっとフォーカスしてもらいたい」(ハンソン氏)

検証は十分か

 Twitter、Instagram、「Facebook」などの大手ソーシャルメディアで検証済みのアカウントを示す「認証バッジ」システムは、さまざまな成功を収めている。ステータスが確認されれば、偽のアカウントの削除が容易かつ迅速になる。ただし、現時点では検証済みのステータスを申請できるユーザーは限定されている。多くの場合、そのユーザーに関連するビジネスに左右される。

 「多くの人々は認証バッジを得るほどの注目に値しないかもしれない。だが、そうした人々でも市場に与える影響は大きい」(ハンソン氏)

 検証済みと認められるための申請プロセスは、ソーシャルメディアにとってもバランスを取るのが難しい処理だ。前提条件を広げ過ぎれば申請が殺到する可能性がある。狭過ぎると申請が制限され、メリットがなくなる。

 各サービスの検証システムは統一されていない。あるサービスで検証済みのステータスを得ても、他のサービスでは得られないかもしれない。既存のサービスで検証済みと見なされていたとしてもだ。そうなれば、人々は本物であっても検証済みではないアカウントの正当性に疑問を抱きかねない。

 ソーシャルメディアの偽アカウントを検出する研究もある。2014年、ブロトカ氏は「Profile Cloning Detection in Social Networks」と題する論文を発表した。偽アカウントの検出によって、サービスは不正なアカウントを発見できる。

 「作成したのは、友達や友達の友達を集めるシンプルなアプリケーションだ。集めた情報を基に幾つか実験し、偽アカウントをどの程度効果的に作成でき、どの程度効果的にそれを検出できるかを確認した」(ブロトカ氏)

 この論文は2つの手法を示した。一つはアカウント間の類似性を調べる方法、もう一つはソーシャルネットワーク間でのアカウントの類似性を評価する方法だ。

 どちらも偽アカウントの検出に役立つことが証明された。だがデータ量の点から、一つ目の手法は大規模展開には不適切だ。「Facebookのような巨大サービスでは、全てのアカウントに対して効果的に実行できるとは思えない。この手法をもっとシンプルにする必要がある」(ブロトカ氏)

 Cambridge Analyticaのスキャンダルが発端となり、研究目的であってもFacebookのデータを入手するのは難しくなった。そのため、偽アカウント検出の研究も困難になっている。

可能なこと

 ソーシャルメディアの急増とサービスの不十分な報告メカニズムにより、IDの盗難が盛んになっている。悪意を持ったアクティビティーにこれまで以上の対抗措置が取られない限り、この状況は続くだろう。

 「偽アカウントが迅速に凍結されるようになることを願っている。オンラインで罪を犯す人々は有害で影響力が大きいことを認識する必要がある」(ハンソン氏)

 「Online Safety Bill」(オンライン安全法案)が英国議会に提出され、委員会で審議されている(訳注:2022年5月時点)。この法案では、最大手ソーシャルメディアに不正広告防止を義務付けている。ID盗難にどの程度の効果があるかについては時間を置かなければ分からない。

 「われわれは詐欺師の取り締まりを決意しており、新たな省庁を設立するなど、デジタルIDをパスポートや運転免許証などの公文書と同程度に信頼でき、セキュアなものにするための法律を盛り込んでいる」(英国内務省)

 ソーシャルメディアを利用する個人や組織は、ブランドや評判を守るために偽アカウントに警戒する必要がある。検証済みのステータス取得は役立つが、絶対に確実な対策ではない。

 イーロン・マスク氏は、Twitterの買収計画に続いて「実在の人物を全て認証する」とツイートしている。これは、今後さらに多くのTwitterアカウントが検証されることを意味する。

 現状では、偽アカウントを定期的にチェックするなど、先を見越したソーシャルメディア戦略に従う必要がある。偽アカウントを見つけた場合は報告メカニズムを利用してこれを削除しなければならない。不正アカウントによるコメントや投稿のスクリーンショットを撮ることは、法的措置の証拠になる。

 ユーザーがソーシャルメディアのID盗難から身を守るためにできることは限られている。「それらを迅速に特定するメカニズムを作成する責任は、主に当局とサービスの所有者にある」(ブロトカ氏)

Copyright © ITmedia, Inc. All Rights Reserved.

ページトップに戻る