Malwarebytesは3月28日(米国時間)、「Facebook spied on Snapchat users to get analytics about the competition | Malwarebytes」において、旧FacebookがSnapchatユーザーの通信を盗聴するなどの反競争的な行為に従事してユーザーデータを悪用していたと報じた。これは2024年3月23日(米国時間)にカリフォルニア州連邦裁判所に提出された文書「(PDF) Case 3:20-cv-08570-JD Document 736 Filed 03/23/24」にて明らかになったもの。

  • Facebook spied on Snapchat users to get analytics about the competition|Malwarebytes

    Facebook spied on Snapchat users to get analytics about the competition | Malwarebytes

Facebookによる盗聴

Malwarebytesによると、Facebookによる盗聴は2016年6月から2019年5月ごろまで存在したIAAP(In-App Action Panel)プログラムによって実施されたという。IAAPプログラムは、中間者攻撃(AiTM: Adversary-in-The-Middle)により、Snapchat、YouTube、AmazonのSSL(Secure Sockets Layer)で保護されたトラフィックを傍受して分析し、Facebookの意思決定に必要な情報を提供するために使用された。

裁判資料は、2016年6月にMetaのマーク・ザッカーバーグ氏が送信したメールを取り上げている。そこには「誰かがSnapshotについて質問すると、彼らのトラフィックは暗号化されていて分析できないと答えが返ってくる。彼らの成長の速さを考えると、彼らについて信頼できる分析結果を取得する新しい方法を見つけることが重要だ。われわれにはそれを成すカスタムソフトウェアやパネルが必要だろう。あなたはこの方法を見つけるべき」と記述されており、マーク・ザッカーバーグ氏の指示による攻撃だったことが示されている。

この攻撃は「Project Ghostbusters」と呼ばれ、Facebookが買収したイスラエルの通信分析企業「Onavo」の技術が使われたとみられている。具体的には、Onavoサーバ上で実行されるSSL Bump(別名:SSLインターセプト)と呼ばれる手法を使用してSSL/TLSトラフィックを傍受して内容を分析していた。

影響

Facebookはこの攻撃を成功させるために、攻撃キットをAndroidとiOSユーザーにインストールするように奨励したとされる。このキットによりトラフィックの傍受が可能となり、ユーザーの暗号化された通信を盗聴することに成功したとみられている。

Malwarebytesは、米国の盗聴法(wiretapping laws)について、「電子通信を意図的に傍受すること、およびそのようにして傍受された通信の使用を例外なく禁止している」と述べており、これら一連の攻撃は米国の法律に抵触していたものとみられる。