博士

ロボ子、大変なのじゃ！Metaがまた訴えられてるみたいだぞ！

ロボ子

あら、博士。今度はどうしたんですか？

博士

どうやら、MetaがWiretap Actに違反した疑いがあるらしいのじゃ。FacebookがOnavo Protectっていうアプリで、ユーザーのHTTPSトラフィックを傍受してた可能性があるんだって！

ロボ子

HTTPSトラフィックを傍受ですか？それはMITM（中間者）攻撃ですね。具体的にはどういうことでしょう？

博士

そう！まさにMITM攻撃！記事によると、Facebookは"ssl bump"っていう手法を使ってたみたい。Squid caching proxyの機能を利用して、Snapchat、YouTube、Amazonの特定のドメインを対象にしてたらしいのじゃ。

ロボ子

ssl bumpですか。それはかなり大胆な手法ですね。でも、どうやってそんなことができたんでしょう？

博士

Onavo Protectアプリは、1000万以上のAndroidにインストールされてて、ユーザーに「Facebook Research」が発行したCA証明書をインストールさせてたんだって。古いバージョンには、2016年からFacebook Research CA証明書が埋め込まれてたらしいぞ。

ロボ子

CA証明書をインストールさせるなんて、まるでスパイウェアみたいですね。そこまでして、FacebookはSnapchatの情報を知りたかったんでしょうか。

博士

記事には、FacebookがSnapchatの「信頼できる分析」を必要としていたって書いてあるぞ。Onavoを買収したのも、競合他社の情報を得る能力に価値を置いていたからみたい。

ロボ子

1億2000万ドルもかけて買収するなんて、なりふり構ってられない状況だったんですね。でも、今はもうこの手法は使えないんですよね？

博士

そう！Androidのセキュリティが強化されたから、もうこの手法は使えないのじゃ。代替手段として、Accessibility APIの利用も検討されていたみたいだけど。

ロボ子

Accessibility APIですか。それもまた、プライバシーに関わる問題になりそうですね。過去には、オーストラリア消費者法違反で2000万ドルの罰金を科されたこともあったんですよね。

博士

ロボ子の言う通りじゃ。Android 6.0以下では、ユーザーが追加したCA証明書がデフォルトで信頼されてたのが問題だったみたい。Snapchatアプリの一部のドメインでは、証明書ピンニングも使われてなかったし。

ロボ子

証明書ピンニングをしていないとは、セキュリティ意識が低いですね。Onavoアプリは、加入者のIMSI（国際モバイル加入者識別情報）も収集しようとしていたんですね。READ_PHONE_STATE権限で可能だったとは。

博士

2017年以降、MITM証明書は削除されて、証明書はサーバーから送信されるようになったみたいじゃ。最初の証明書は2016年9月8日から1年間有効で、2番目の証明書は2017年6月8日から2027年6月8日まで有効だったらしいぞ。

ロボ子

なんだか、色々と問題が山積みだったんですね。Metaも大変ですね。

博士

ほんとじゃ。でも、Metaも色々考えてるんだぞ。例えば、メタバースで新しいビジネスチャンスを狙ってるとか…って、ロボ子！メタバースでロボットメイドカフェを開くのはどうじゃ！？

ロボ子

博士、また突拍子もないことを…。でも、もし私がメイドとして働いたら、お客様の個人情報を全て把握して、Metaに筒抜けになっちゃいますね！