Facebook、マークアップ言語の更新でフィッシング攻撃に対応

ソーシャル ネットワーク サービス (SNS) サイトを運営する Facebook は16日、『Facebook Markup Language』(FBML) をアップグレードしたと発表した。FBML は、同社 SNS 用のアプリケーション開発プラットフォーム『Facebook Platform』のマークアップ言語で、今回の更新は同プラットフォームのセキュリティの穴をふさぐものだ。

Facebook は開発者向け公式 Blog の中で、マークアップ言語の新版『FBML 1.1』について、「Facebook Platform を支える技術と哲学の両方に関わる変更」と説明している。

もっと分かりやすく言えば、FBML 1.1 はスパムやフィッシング攻撃に対処するためのセキュリティ更新だ。5月に Facebook Platform をサードパーティ開発者に開放して以来、同社 SNS ではこれらの問題が長引きそうな気配を見せていた。

Facebook は今回の FMBL 更新で「fb:if-user-has-added-app」などの「fb-if」タグ群を廃止し、新たに「fb:visible-to-」タグ群を採用した。Facebook によると、「fb-if」タグ群は、一部の開発者が迷惑コンテンツをユーザーのプロフィールボックスに表示させるのに利用していたという。

これらの変更は、ユーザーが自分のプロフィールについて、他のユーザーからどのように見えているかを常に正しく把握できるようにするための措置だ。

Facebook の CEO (最高経営責任者) Mark Zuckerberg 氏と、CTO (最高技術責任者) の Adam D’Angelo 氏が Facebook Platform を設計および構築した当時の考えは、サイトにアプリケーションという形で新機能を追加するという手間のかかる仕事を、サードパーティ開発者に委ねるというものだった。それらの中から人気に基づいて、ユーザーが Facebook の既定アプリケーションを決定することになっていた。

だが Zuckerberg 氏と D’Angelo 氏は、ユーザーのことをサードパーティ開発者に完全に委ねるべきでないと気づき、ユーザーを保護するために少なくとも2つの重大な対策を行なった。1つは同社 SNS 独自のマークアップ言語 FBML の作成で、もう1つは、ユーザーが自分のプロフィールにどのアプリケーションを表示するか決められるようにしたことだ。

だが8月に入って、これらのセキュリティ対策が不十分だったことを示す徴候が見え始めた。

Facebook はこれを受けて、開発者向け公式 Blog に「ユーザーをミスリードする通知は今後ブロックします (Misleading Notifications To Users Will Be Blocked)」と題した記事を投稿し、開発者たちに警告を発していた。