Facebookにはバグ発見者に対して500USドル以上の報奨金を支払うという制度が存在します。ハッカーによるバグの悪用を防ぎ、逆にバグを発見してもらうために設けられている制度です。しかし、先日セキュリティのバグを発見したKhalil Shreateh氏が得たのは、報奨金ではなく「アカウント一時利用停止」という措置でした。
彼はFacebookのCEO、マーク・ザッカーバーグ氏本人のFacebookアカウントに侵入し、バグの存在を全世界に向けて報告したのです!
ザッカーバーグ氏のFacebookのウォール上で、謝罪をしつつバグを報告
パレスチナ人のウェブ開発者でありハッカーでもあるShreateh氏は、先日ザッカーバーク氏のFacebookアカウントに侵入し、部外者の投稿が禁止されているはずのウォールに、「謝罪」から始まるメッセージを書き残しました。
「プライバシーに侵入してすみません...。他に選択肢がなかったんです...。Facebookにはこれまで何度も連絡しましたが」
そして、Shreateh氏はFacebookのセキュリティシステムにバグを発見したこと、またこれまで何度かFacebookにこのバグについて報告したものの、まともな回答が得られず無視されたことを書きました。
「読んでいただいて、ありがとうございました。御社の担当者からご連絡をいただけるとうれしいです」彼は、終始礼儀正しく、ハッキングメッセージをこのように締めくくりました。
謝罪しつつバグを報告するという、なんだかよく分からないこのメッセージ。Shreateh氏は一体なぜこのような行動に出たのでしょうか?
Facebookに無視され続けたShreateh氏の報告
報告をする数日前、セキュリティの設定で禁止していても、Facebook上でつながっていない他人のウォールに投稿ができてしまうというバグを発見したShreateh氏。「Whitehat」というFacebookがバグを発見した人向けに設置している窓口にメールを送りました。
冒頭での説明した通り、Facebookはバグを発見した人に対して500USドル以上の報奨金を与えるシステムをとっています。
友達ではないSarah Goodin氏のウォールに投稿できたことを報告
彼はWhitehatに宛てたメールで、バグを発見したこと、そして実際に「友達」でないにも関わらずSarah Goodin氏のウォールに投稿できたことを、証拠のリンクとともに送信しました。
Goodin氏はザッカーバーグ氏の友人であり、女性として初めてFacebookに登録した人として知られています。
しかし、これに対してShreateh氏がFacebookから得た返事は「Khalilさん。リンクをクリックしましたが、エラーになって何も見れませんでした。では」というあっさりしたものでした。
Facebookとのやりとりを自分のブログで公開・YouTubeにも証拠をアップ
納得のいかないShreateh氏。彼は、このやりとりを自分のブログで公開し、さらに実際にSarah Goodin氏のページにアクセスしたことを証明するスクリーンショットをブログで公開します。
また、本来はアクセスできないはずのFacebookのページにアクセスできたことを示す動画をYouTube上で公開し、ウェブ上でこのバグの存在を知らしめます。
「マークのウォールにだって投稿できる」と最後通告を出す
その後も彼はFacebookに訴え続けます。「あなたがGoodin氏の友達リストに入っていないから、見られないのですよ。僕のためにテスト用のアカウントを作ってください。あなたの友達リストに僕が入っていなくても、あなたのウォールに投稿することができます」
彼はこうも書きました。「マーク(注:ザッカーバーグ氏のこと)のウォールにだって投稿できます。でもやりません。プライバシーを尊重したいから」
しかし、これに対してもFacebookの担当者は「申し訳ないですが、これはバグではありません」と返信。しびれを切らしたShreateh氏は、最後通告を出しました。
「分かりました。仕方がないので、マークのFacebook上でこのことを報告します」
このあと、最初に書いたとおり、Shreateh氏はザッカーバーグ氏本人のウォールに投稿するに至ったのです。
「サービス規約」に反しているため、報奨金はなし
Facebookは、さすがにこの行動には即座に対応します。数分後には、Facebookのセキュリティ担当者がShreateh氏に事の詳細をすべて教えてほしいと連絡。そして、直後にShreateh氏のFacebookアカウントは「予防措置」として一時利用停止処分を受けたのでした。
本来ならばバグ発見者には最低500USドルの報奨金が支払われるはず。しかし、Hacker Newsの報道によれば、Shreateh氏がザッカーバーグ氏とGoodin氏のアカウントに投稿した行為はサービス利用規約に違反しているため、報酬は与えられないそうです。
Shreateh氏の行為は「他人のプライバシーを侵害しないように努めること」そして「バグを調査するときにはテスト用のアカウントを使用すること」という規約に違反している、というのがFacebook側の説明です。
Shreateh氏がとった行動に対して分かれる評価
今回、Shreateh氏がとった行動は世界中で大きな注目を集めています。ザッカーバーグ氏本人のFacebookページをハッキングしたという大胆な行動はさることながら、その行動の正当性をめぐってもさまざまな意見が噴出しています。
Shreateh氏の行動を批判する人は、彼が技術的な情報の詳細をFacebookに与えていなかったこと、そして規約に則った手順を踏まなかったことを指摘しています。
この批判に対しては賛同意見が多いものの、一方で「それ以上に愚かなのはFacebook」という声が噴出しているのも確かです。Shreateh氏の最初の指摘を受けても、さらに詳細情報を求めなかったこと、バグが存在する可能性を無視したことを批判しています。Facebookの信条でもある「すばやく行動し、問題を解決しろ」は一体どこにいったのか、という皮肉る人も。
また、何百万人ものユーザーに影響を与えうる重大なバグを見つけ、それを悪用することなく適切な窓口へと通報したShreateh氏の行為を讃える声もあがっています。
バグを見つけてFacebookに通報したにも関わらず、500USドルという報奨金の代わりに、アカウント一時停止処分をくらったShreateh氏。なお、Facebook側は、将来また彼からの通報があった際には「規約に従ってさえいれば、報奨金を支払います」とメディアに話しているそうです。
facebook vulnerability 2013 | Khalil
Palestinian apologizes for hacking Zuckerberg's Facebook page | The Jerusalem Post
The Questionable Wisdom of Hacking Mark Zuckerberg's Facebook Account to Make a Point | Bloomberg Businessweek
No Bounty for Zuckerberg Page Hacker, Facebook Says | Tech News World
(佐藤ゆき)
