Metaがバグ報奨金プログラムを拡大、スクレイピングされたデータの発見も対象に

Meta（メタ）は、バグ報奨金プログラムを拡大し、データのスクレイピングを報告した研究者にも報奨金を与えると発表した。この変更により、スクレイピング行為を可能にするバグや、すでにオンラインで公開されている過去にスクレイピングされたデータを報告することも、報奨金の対象となる。

Metaはブログ記事で、スクレイピング行為に特化したバグ報奨金プログラムが起ち上げられたのは、同社が知る限り、これが初めてだと書いている。「当社では、攻撃者がスクレイピングの制限を回避して、我々が当初意図した以上の規模でデータにアクセスすることを可能にする脆弱性の発見を期待しています」と、セキュリティ・エンジニアリング・マネージャーのDan Gurfinkle（ダン・ガーフィンクル）氏は、説明会で報道陣に語った。

データスクレイピングは、Metaが追っている他の「悪意ある」攻撃とは異なり、自動化されたツールを使用して、ユーザーのプロフィールからメールアドレス、電話番号、プロフィール写真などの詳細な個人情報を大量に収集するというものだ。ユーザーがFacebookの公開プロフィール上でこれらの情報を自ら進んで公開していることもあるが、スクレイパーは、これらの個人情報を検索可能なデータベースに掲載するなど、より広範に公開する場合がある。

また、Metaがこのような行為に対抗するのは困難な場合もある。例えば、2021年4月には、5億人以上のFacebookユーザーの個人情報が、フォーラムで公開されたことがあった。このケースでは、実際のデータスクレイピングは数年前に発生したものであり、同社はすでに根本的な欠陥に対処済みだった。しかし、一度データがネット上に流出し始めてしまうと、同社にできることはほとんどなかった。また別のケースでは、データスクレイピングを理由に、同社が個人に対し訴訟を起こしたこともある。

新しいバグ報奨金プログラムの下では、研究者は「PII（個人識別情報）または機密データ（例えば、メールアドレス、電話番号、住所、宗教や政治的所属）を含む、少なくとも10万件の固有のFacebookユーザーレコードが収蔵された、保護されていないまたは公開されているデータベース」を見つけると報奨金が支払われる。ただし、Metaによると、報奨金は研究者に直接支払われるのではなく、研究者が選んだ慈善団体に寄付されるという。これは（報奨金を目当てに）スクレイピングされたデータを公開しようとする行為を奨励しないようにするためだ。

データスクレイピングにつながるバグの報告については、研究者は寄付か直接支払いのどちらかを選択できる。Metaによると、バグまたはデータセットの発見には、どちらも最低500ドル（約5万7000円）以上の報奨金を支払うとのこと。

編集部注：本記事の初出はEngadget。執筆者Karissa BellはEngadgetのシニアエディター。