ユーザーが Facebook アプリケーションのインストールに同意する前でも、Facebook はユーザー体験をカスタマイズするために一部のユーザーデータをアプリケーションの Web サイトに送信します。困ったことに、このデータには、同意なしには共有したくない情報が含まれています。 Facebook では、アプリケーションの認証メカニズムとして OAUTH2.0 を使用しています。ユーザーがインストール前に iframe ベースの Facebook アプリケーション(apps.facebook.com/<アプリケーション>)にアクセスすると、アプリケーションをホスティングするサードパーティーの Web サイトに POST 要求が次のデータとともに送信されます。
age オブジェクトは、特定の年齢のユーザーのアクセスを制限し、別の特定の年齢区分にはアクセスを提供します。年齢区分には、次の 3 つがあります。 13-17(最低年齢 13 歳、または最低年齢 13 歳かつ最高年齢 17 歳) 18-21(最低年齢 18 歳) 21+(最低年齢 21 歳) 通常、このようなデータは、年齢制限があるアプリケーションを適切な資格年齢を持つユーザーにのみ提供するために使用されます。たとえば、米国では、投票に関連するアプリケーションを使用できるのは 18 歳以上のユーザーのみです。 この時点では、アプリケーションのインストールは承認されていません。通常、この情報がサードパーティーの Web サイトに送信された後で初めて、アプリケーションで見慣れた許可要求のダイアログが表示されます。
さらに、ユーザーは Facebook アプリケーションをインストールするためにリンクをクリックすることも求められません。サードパーティーの Web サイトにアクセスすると、(たとえば、非表示の iframe や広告のプレースホルダのiframe 内で)ダミーの Facebook アプリケーションが密かに読み込まれ、そのアプリケーションが年齢区分データを自動的に受信します。データを受信した後、残りのトランザクションは Web サイトによって中止され、Facebook アプリケーションの読み込みも行われません。また、このときサードパーティーの Web サイトは年齢区分情報を取得しており、iframe や cookie の投下といったさまざまな方法を通じてターゲットを絞った広告を表示できます。 1. ユーザーがショッピング Web サイトに移動します。 2. ショッピング Web サイトには、ダミーの Facebook アプリケーションである apps.facebook.com/age-check-service をポイントする iframe があります。 3. Facebook は、この Facebook アプリケーションをホスティングするドメインである age-check-service.biz に、最低年齢、最高年齢、国/地域、ロケール情報を送信します。 4. Facebook アプリケーションはショッピング Web サイトに、バナー広告などのターゲットを絞ったコンテンツを表示できます。 ユーザーが Facebook にログインしていない場合、データには正しいロケールおよび国/地域の情報が含まれるものの、年齢は「最低年齢 0 歳」に設定されます。この場合、年齢を取得することはできません。 このデータは個人の識別が可能な情報ではありませんが、プライバシーを重視するユーザーが、自分の年齢区分が明示的な同意なしに第三者に送信されることを認識していない可能性があります。Facebook のプライバシー設定では、この機能を無効にすることはできません。この動作を防止するには、サードパーティーの Web サイトにアクセスするときに Facebook からサインアウトする必要があります。Facebook にサインインしている場合は注意してください。アプリケーションをインストールする前に、年齢区分、国/地域、ロケール情報が漏洩します。 Facebook のポリシーについては、https://www.facebook.com/policy.php および https://developers.facebook.com/policy/ をご覧ください。 注: 「age-checking-service」は、例を示す目的でのみ使用している架空の名称です。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。