Facebook【ログアウト後の】プライバシー漏洩問題

前置き

Facebookでは様々な設定項目があり、プライバシー情報を個別に公開/非公開にしたり、検索可否を指定する事が出来ます。きちんと設定すれば、「メールアドレスで検索して氏名を特定」はされないらしいです。
私もそう聞いていたのですが、確認してみたところログイン画面の仕様により【メールアドレスからFB上の氏名&顔写真が分かる】ケースに遭遇しました。
ただし前提条件がかなり厳しいので、影響範囲は小さいと思います(多分)。ちょっとした雑学のつもりで気楽にお読み下さい。

と言うことでさっさと実例。

「普通のログインエラー画面」の例
  1. 綺麗な環境*1Facebookを開く。
  2. ログイン画面でメアドを入力&間違ったパスワードを入力(=未入力可)
  3. エラー画面になる

「ありがた迷惑なログインエラー画面」の例
  1. ブラウザでFacebookにログイン
  2. Facebookからログアウト、
  3. ↑のログアウト時点でのCookie*2が残ってる状態でFacebookを開く
  4. ログイン画面で前回ログアウトしたメアドを入力&間違ったパスワードを入力(=未入力可)*3 *4
  5. エラー画面に氏名と顔写真が表示される!?

なんということでしょう。「メールアドレスでFBアカウント検索不可」にしていても、後者の状況が成立するとアカウントの有無やFBの氏名がばれてしまいます! 後者が成立するような共用PC*5Facebookを使用すると、意図せぬ情報漏洩が起きる可能性があるということですね!

まとめ&結論

上にも書いてますが、Cookieを一切残さない形であればこの問題は発生しません。ブラウザのシークレットモードを利用したり、ブラウザ終了時にCookie含む履歴を削除すれば大丈夫ですね。*6
ただし「ログアウトしたからアカウント情報は残ってない」と勘違いすると、Cookieが残ったままで問題が発生しうるわけですね。ここがちょっと厄介です。


「既にブラウザでFacebookを利用済みで、Cookieが残ってる」「前回ログインしたメールアドレスが分かる*7」といった条件が揃った時のみ発生する問題であり、影響範囲は広くないでしょう。
ただ全くあり得ない話では無いので「メアドと実名を紐づけられたくない」「FBの利用中かどうか知られたくない」という方は、くれぐれも共用PCでFacebookを利用しない*8ようご注意下さい。どうしても使わざるを得ないのなら、せめてCookieを残さないよう徹底してくださいね。

*1:初めてFacebookにアクセスするブラウザ・Facebookにアクセスした事があるがCookieを消去済みのブラウザ・ブラウザのシークレットモードなど、とにかくCookieがまっさらな状態です。

*2:完全な特定は出来ませんでしたが、どうやらCookieの「fr」「lu」「datr」辺りの情報(を組み合わせて?)前回ログインアカウントを特定しているような雰囲気です。

*3:前回のメールアドレスと別ならば普通のログインエラー画面になります。

*4:ログアウト直後に他のメールアドレスを試行した後でも、新たなログインの前に前回ログインしたメールアドレスを入力すればこの画面は出るみたいです。

*5:ネカフェ・ホテル・学校・家族内・職場・公共施設で開放されているPC等々。

*6:メアドが記録されない様、ブラウザの入力補完機能(オートコンプリート)にも気をつけて!

*7:Facebookのログイン画面でメールアドレスを総当たり入力が出来るかどうかは確認してません。逮捕されても困りますしw

*8:ちなみにキーロガーの仕組まれてる共用PCだったらパスワード含め重要情報丸ごと取られますので気をつけて下さいね!