パスワードを忘れた? アカウント作成
13529049 story
Facebook

Facebookの二段階認証でSMSを使用すると、登録した電話番号にスパムが届く? 34

ストーリー by headless
通知 部門より
Facebookの二段階認証に携帯電話番号を登録すると、その番号にFacebookからスパムが送られてくるようになるという報告が出ている(Mashableの記事The Vergeの記事SlashGearの記事報告者のツイート)。

報告者のGabriel Lewis氏によれば、携帯電話を使用する二段階認証を有効にしてから半月あまり経過後、友達の投稿に関する通知がFacebookからSMSで送られてくるようになったという。さらに、このSMSに返信すると、そのままLewis氏のウォールに投稿されたそうだ。同様の問題は他にも報告されており、SMSに返信することで家族や友人を罵ってしまう結果になったという報告もみられる。

Lewis氏はFacebookからのSMS通知にオプトインしていないとのことで、設定自体も無効のままのようだ。米国では電話消費者保護法(TCPA)により、企業が受信者の合意を得ずにSMSを送信することは違法行為となる。今回の件は訴訟という話には至っていないようだが、Facebookが無断で送信するSMSについてはこれまでに複数訴訟が提起されているとのこと。

FacebookではMashableやThe Vergeに対し、この問題がバグによるものか、意図的なものなのかについては触れず、通知をユーザーが制御できるようにしており、何か改善できる点があるかどうかこの問題を調査していると伝えたという。また、The Vergeに対しては、コードジェネレーターセキュリティキーを使用すれば、電話番号を登録することなく二段階認証を利用できるとも述べたとのこと。

その後、Facebookの最高セキュリティ責任者 Alex Stamos氏が、この現象はバグであると説明。ユーザーがオプトインしない限りセキュリティと無関係なSMSが送信されないように対策を進めていると述べている。また、SMSへの返信がFacebook投稿になることについては、スマートフォンが広く普及する前には便利な機能だったが、現在ではあまり有用でなくなっているため、近く廃止すべく作業を進めているとのことだ(Stamos氏のFacebook投稿)。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2018年02月17日 20時13分 (#3363227)

    現在、付き合いのない同級生がFBに登録したらしく
    そいつのスマホの登録されてる電話番号全部引っ張って
    「お前の友達、FBに登録したんだからお前もしろよ」というSMS送信するのヤバくね?
    こっちはSNSなんて微塵も興味無いもので
    いきなりそんなSMS来たものでちょっとビビったわ
    無論即消した
    SNSとSMSが読みづらくてすいません(私のせいではないが一応謝る)

    個人情報収集するにも度が過ぎてる
    というかよく考えると思いっきりスパムだな

    • by Anonymous Coward

      SMSだけじゃなくて電子メールでも来るよなFacebookからのスパム。
      日本の特定電子メール法が及ばないって理屈でこういうこと続けるのなら、ばれないようにしてこっちもメール送信サーバーに反撃してやろうかと思うことがある。

      • by Anonymous Coward

        誤ったメールアドレスを登録しても通りますからね。
        認証確認メールを無視してもすでに登録されており、誤ったメールアドレス宛にスパムが届き続けます。
        誤登録されたメールアドレスでは当然ユーザー登録もできません。

    • by Anonymous Coward

      登録したあと、最低限の情報しか設定せずに稀に見るだけやってたんだが、お前の電話番号これだろ?設定しろよって表示してきたときは本当に気持ち悪いと思った

  • by Anonymous Coward on 2018年02月17日 21時03分 (#3363242)

    「〇〇さんがリンクをシェアしました」「〇〇さんが近くのイベントに興味があると言っています」「〇〇さんが写真を追加しました」とか・・・

    うぜえぇぇぇぇぇぇぇぇぇぇぇぇぇぇぇぇぇぇぇぇぇぇぇぇぇぇぇぇぇぇぇぇぇぇぇぇぇぇぇぇぇぇぇぇぇぇぇぇぇぇ

    って思いつつもアメ公はこういう文化なのかなと思ってスルーしてたけど、あっちの人たちにとってもうざかったんだなw

    • by Anonymous Coward

      キミだって顔本アカウントなんか持ってる時点で
      十分に実名露出狂の仲間じゃないかwwwwwwwww

  • by Anonymous Coward on 2018年02月17日 17時22分 (#3363171)

    GMOインターネットのwimax2はSMSでのスパムが今朝来た。

  • by Anonymous Coward on 2018年02月17日 17時27分 (#3363174)

    米国では電話消費者保護法(TCPA)により、企業が受信者の合意を得ずにSMSを送信することは違法行為となる。

    その後、Facebookの最高セキュリティ責任者 Alex Stamos氏が、この現象はバグであると説明。ユーザーがオプトインしない限りセキュリティと無関係なSMSが送信されないように対策を進めていると述べている。

    バグであっても法律に反する挙動をしているなら、それに関連する機能をいったん切り離した上で、対策してから再接続するのが筋じゃないの?(Facebook全体を止めろという意味ではないので、念のため)

    少なくともSMSを一時的に、一切送信しなくなることで、何らかの違法行為になるとは思えないし。

    最高セキュリティ責任者とやらが法令遵守よりサービス側の都合を優先するとか、企業の信用と価値をぶち壊してるだけじゃん。

    • SMSの送信を期待しているユーザーから訴えられるリスクはないの?
      そういう形で通知するという価値がユーザーの承諾なしに毀損されたとかいって。

      諫早湾訴訟みたいに、進むも罰金、戻るも罰金みたいな?

      親コメント
      • by Anonymous Coward

        ねーよそんなもん。
        有料オプションでSMS配信機能とか提供してるなら、日本でいうところの債務不履行にはなるだろうけど、Facebookにそんなオプションないし。
        基本無料のSNSで、システムの機能が一部提供されなくて損害とか寝言でしかない。だったら最初から別口で話つけて、然るべき契約を結び、有償のサポートを受けるなり、SLAを締結すべきだろう。

    • by Anonymous Coward

      2段階認証を利用してるユーザーがログイン出来なくなるじゃん。

      • by Anonymous Coward

        修正が終わるまで2段階認証そのものを無効にすれば良いのでは?(1段階認証のみにする)

        2段階認証を実装していること、というのが、サービス提供しているどこかの地域の要件であるのなら、最早両立はできないから対策が終わるまでサービスを停止して、メンテナンスモードにするしかないだろうね。

        # もちろんそれでセキュリティ面に弱点を抱えるのは事実だが、だからといって違法行為を続けるのは・・・

        • by Anonymous Coward

          法律違反だからと、すべてに優先されるわけではない。
          たとえば日産の検査不正でも、市中の日産車が禁止になったわけではない。

          2要素認証を停止するデメリットと天秤にかけた場合、修正されるまでの間、SMSが送信されるのは仕方がない。
          まあ、すぐに宣伝のSMS送信部分だけ無効化すればいいのに、とは思うけど。

          • by Anonymous Coward

            自動車みたいな場合によっちゃ生活必需品になってるモノと、言っちゃ悪いがライフラインにはほど遠い「たかがSNS」を一緒にするのも筋が悪い。

            だいたい日産だって不正が発覚した後は、新規での販売は即座にストップかけてるし、すぐに販売済みの車も検査はじめたでしょ。
            決して「違法状態を認識したけど、対応ができるまで放置して通常営業します」みたいなことはしていない。

            • by Anonymous Coward

              日産は出荷を停止したけど、まあ、本当は最初の発覚後も他の工場で不正が続いていたって話もあるけど、それはともかく、日産はともかくユーザー側はどうだろう。

              不正で検査されずに出荷された日産車は、車検を通さない限り、無車検運行となる。
              だからニュースで不正を知った人は、車検に通っていない日産車は運転してはならなかった。
              実際に捕まった人は聞かないけどね。

              違法状態を認識したけど、対応ができるまで放置して通常営業した例としては築地35棟、12年間「違法」 [asahi.com]がそうじゃないかな。

              防災上の定期点検を重ねていることから「安全性は問題ない」とし、今後、使用許可申請に必要な準備を進めるという。

              この35棟は即時使用停止したわけじゃないでしょ?

              • by Anonymous Coward

                違法だから即営業停止になるわけではないし違法だから即逮捕されるわけでもない。
                法律に違反したらどうなるかも法律で決まってますからね。基本的に日本もアメリカも証拠がないと有罪にできないので。まあ国民感情を忖度した結果ですかね。
                だからといって違法行為を続けるのもアレな話。ついでに罰則のない違法行為を繰り返してると罰則がついたり警察や政治家に目をつけられたりするのだが。

              • by Anonymous Coward

                「止めろよ」って話は、刑事よりは民事の問題じゃないか?

                まず前提として、利用者が望まないSMSの受け取りは米国で違法である。
                とすれば、そういったメールを受け取った利用者は、慰謝料なり損害賠償なりを請求できる。実際そういう訴訟は起きてるみたいだし。

                さて、アメリカの場合、日本と違って懲罰的賠償金という制度もあるので、裁判官や陪審員の心証というのが訴訟において大きく影響するパラメーターになる。
                そのときに「違法だと気がついたけど、システム改修まで時間かかるので放置してたんです」なんて言ったら、それに陪審員はどのような感情を持つか。

  • by Anonymous Coward on 2018年02月17日 17時31分 (#3363176)

    日本はどうだっけ?
    電気通信事業法はFBやGoogleやLINEやTwitterに及ばないよな?

    国は不当な電話番号収集をやめさせて欲しいんだが
    端末の電話帳盗んですり合わせとか以ての外だしさぁ

    • by Anonymous Coward

      法律は原則的に、国家の領土内全てに対して効果があるものです。
      FBとかGoogleとかについても、日本法人側であれば電気通信事業法が適用されますよ。

  • by Anonymous Coward on 2018年02月17日 17時37分 (#3363182)

    裸の写真を登録させようとするらしいがそういうことするにはユーザーからの信用が不可欠だよな。

  • by Anonymous Coward on 2018年02月17日 18時28分 (#3363197)

    Twitterが画像表示順をランダムにしたことを画期的な新機能として宣伝しなかったばかりかバグと認めたことにかえって驚いた。

  • 本物のスパムが届く。
    こういうのって日本だと取り締まる法律はないのか?

    携帯以外のメールアドレスが登録できないのって効率的にスパム送るためなんじゃなかろうかと。

    • by Anonymous Coward on 2018年02月17日 18時47分 (#3363206)

      賞味期限が切れてなければ問題ないだろ
      スパム飽きるとか言うけど、そんなに食べる機会のない
      俺なら美味しくいただく

      親コメント
      • これは面白い
        誰か面白いおかしいモデ付けたげて!

      • by Anonymous Coward

        JK3とか食べる機会がないので美味しく頂いてしまいたいところなんだが、
        真の送信者は賞味期限切れなんだよなぁ、たぶん。

        • by Anonymous Coward

          これは「本物のスパム」にかけたギャグであってスパムメールの話では無いぞ

    • by Anonymous Coward

      GREEなんてかわいいものじゃないか。楽天とかYahoo!JAPANとかもっと凄いぞ。

      • by Anonymous Coward

        楽天やYahooJapanはDMを大量に送ってくるだけなので、送信元でフィルタしてゴミ箱に送ればいい。
        GREEはスパム業者に売り渡してしまうので送信元がバラバラ。対処が難しい。

        • by Anonymous Coward

          送信元がバラバラ。対処が難しい。

          まさか前世紀よろしくヘッダ目視して
          手動でフィルタ作ってるんですかいな

          • by Anonymous Coward

            携帯を狙った奴はスパムフィルタを通過するから手動登録は必須だぞ。

          • by Anonymous Coward

            Gmailからパソコン画面からじゃないとフィルタ設定できないしな

      • by Anonymous Coward

        嘘乙。5年以上楽天を使ってるが、設定でオフにすれば文字通り1通も届かない。使ってないけどディスってみたかっただけだろ?

        • by Anonymous Coward

          批判してる人たちは配信停止ボタン押したらもっと来ると思ってる20年ぐらい知識が入れ替わってない頭のおかしい人だもん。

  • by Anonymous Coward on 2018年02月17日 18時59分 (#3363210)

    バグである、と認めたということは、違法なSMS送信も認めたんだろ?
    さっさと処罰すべきでは。

typodupeerror

日々是ハック也 -- あるハードコアバイナリアン

読み込み中...