はじめに

最近、筆者の周りで
「Facebookの診断系アプリは危険」
「あらゆる個人情報を、業者に渡すことになる」
「やってしまうと、Facebook乗っ取られたり、投稿」
「やってしまった方は、今すぐパスワードを変更して二段階認証を設定するべき」
という話が上がっていました。

Facebookの診断系アプリというと、例えば今だと以下のようなものです。

これ系のアプリの診断結果は、ちょいちょいFacebookのフィードにも上がってきますね。

これらのアプリをあまりやらないほうがいいのは、筆者も同意見です。
ですが、「ものすごく危険」「やると乗っ取られる」といったこととは、事実と若干異なる部分があります。

そこで今回は、

• Facebookアプリとはそもそもなにか
• どのような情報を取得しているか
• どのような仕組みなのか
• 巷で言われていることの事実・間違いの切り分け

を、可能な限りシステム疎い方でも分かるように、頑張って解説していこうと思います！

※個人の見解を含みます。また間違いや情報の更新などございましたら、ご指摘いただければ幸いです。

先に結論を書くと(最低限これだけ)

• Facebookアプリはパスワードを盗めないから乗っ取りも出来ないから安心しろ
• あなたの友達がどんなアプリを使用していても、あなたには影響がない
• ただし、アプリの設定によっては「あなたに代わって投稿」は出来ちゃうから、そこだけ注意
• また、アプリの設定によっては「個人情報を不必要に悪用」されるリスクはある
• 100％安全というわけではないので、アプリ使用時の設定を必ず確認し、自己責任で使用すること

Facebookアプリとは？

ざっくり言うと、Facebookの情報を使用したアプリすべてです。
それはWebサイトの場合も、スマホのアプリの場合もあります。

例えば、前述したWebサイトの「nametests.com」は、典型的なFacebookアプリです。
https://ja.nametests.com/

Facebookの情報を使用して、診断や占いなど行うものですね。

一方で、スマホのアプリでも、Facebookの情報を使用しているものがあります。
例えば、一時期筆者もやっておりました「キャンディークラッシュ」。
これはアプリの設定で、「Facebookでログイン」という表記がされています。

よくある診断系だけでなく、このようなスマホのアプリも、立派なFacebookアプリです。

そして、そのFacebookアプリをユーザーがはじめて使用するとき、このような表示がされます。

よく見るやつですね。
そして、「裕としてログイン」をクリックすることで、アプリ（写真の場合はnametests.com）が、ユーザーの情報を取得することができるわけです。

Facebookアプリの仕組み

さて、ここからはFacebookアプリの仕組みを、簡単に解説します。
順を追って解説していきますね。

開発者がFacebookアプリを作る時

開発者がFacebookアプリを開発する際、「このアプリは、Facebookのどの情報を取得するか？」という情報を、開発者はあらかじめ設定しておきます。
例えば、

・ユーザーのEメールアドレス
・ユーザーの写真一覧
・ユーザーの誕生日
・ユーザーの性別
・ユーザーのタイムライン一覧
・友達リスト
といった情報です。

このような情報を、アプリごとに、あらかじめ設定しておく必要があります。ちなみにこれらの設定を「スコープ」といいます。

なお、ここで1点特記事項としては、これらの項目として、パスワードを設定することは出来ません。
Facebookアプリはパスワードを取得することは出来ませんし、変更することも出来ません。

ユーザーがFacebookアプリを使用する時

そして、Facebookアプリを使用する場合です。
下の画像のように、Facebookアプリを使用する際、「Facebookにログイン」のボタンをクリックします。

すると、上にも貼り付けた画像が表示されます。

ここで重要なのは、赤線で囲った部分です。
これは、これから使用するFacebookアプリが、Facebookから取得する情報・もしくは使用する権限を、一覧で表示します。

ちなみにキャンディクラッシュの場合はこちらです。

「友達リスト」が含まれていますね。なのでキャンディクラッシュは、ログインしたユーザーの友達リストも取得することができるようになっています。
（そして、この「友達リスト」についても重要な事実があります。詳しくは後述します）

ユーザーは、ここに書かれている情報を確認することで、「これから使用するFacebookアプリは、いったいどんな情報を使用するか」ということを、確認することができるわけです。

なので、必要以上にてんこ盛りだと、「あれ、なにか怪しくない？」となるわけです。
設定を大量にぶち込むと、こんな感じになります。

これはあからさまに怪しいですねｗこのようなアプリは怪しいので、ユーザーは使用しない方がいいです。

ユーザーがFacebookにログイン後、アプリで行っていること

「Facebookにログイン」を実施した後、アプリ内部でどのような処理を行っているかを説明します。

まず、ログインすることで、Facebookから「アクセストークン」と呼ばれる、超長い文字列が返ってきます。

こんな感じの文字列です。実際には200字以上あります。

この文字列を使用して、アプリはFacebookから、情報を取得するわけです。
例えば、ログインユーザーのプロフィールを、アプリから取得したい場合、

・先ほど取得したアクセストークン
・取得したい内容
この2点をFacebookに渡します。

こうすることによって、Facebookはプロフィール情報を、アプリに送り返すわけです。

ちなみにここで取得できるのは、ユーザーがログインしたときに設定している、「スコープ」の範囲内です。
上の画像で使用している例でいうと、アプリBでは「友達リスト」を設定しています。
そのため、アプリは友達リストを取得することができます。

一方、アプリAでは「友達リスト」を、取得する情報として設定していません。
そのため、仮にアプリAが友達リストを取得しようとすると、エラーが発生して取得できません。

このように、Facebookから情報を受け取ったアプリは、この情報を使用して、その後のプログラムで活用できることになります。

※この仕組みは、システム用語で言うと「API」と呼ばれます。
また、ログインなどの仕組みを「認証」「認可」、Facebookアプリで採用している仕組みは「OAuth2」と呼びます。
テストには出ないです。

これが、Facebookアプリの一連の流れです。
ここで重要なのは、
・Facebookアプリでは、ログインユーザーのパスワードを受け取っていないし、受け取ることは決して出来ない
・ログインユーザーの情報は、「アクセストークン」と呼ばれる超長い文字列を使用することで、取得できる。そしてこれは、パスワードを使用しない
・Facebookアプリがアクセストークンを取得するためには、ログインユーザーが一度、「Facebookでログイン」ボタンを押す必要がある
ということです。

巷で言われている話の真偽、QA

これらの話を踏まえ、Facebookアプリ（特に診断系）について、巷で言われていることの真偽やQAをまとめていきます。

Facebookアプリを使用すると、アカウントが乗っ取られる！！

「乗っ取られる」の定義が何かによりますが、「IDパスワードが盗まれる」「自分のアカウントを誰かに勝手に使われる」という意味だと、それはNOです。
なぜなら、Facebookアプリはログインユーザーのパスワードを取得することが出来ないからです。
パスワードを取得出来ないので、悪意のある開発者が、その後のアカウントをどうこうしようとしても、それは出来ません。
※ただしFacebookアプリでは、「タイムラインの投稿」というスコープがあります。これは文字通り、Facebookアプリが、ログインユーザーのタイムラインに投稿をすることができる権利です。
そのため、アプリのスコープに「タイムラインの投稿」が含まれていた場合、悪意のあるアプリが、ユーザーにタイムラインに投稿することは出来てしまいます。そこは要注意です。

診断系アプリを使用してしまったら、今すぐパスワード変更をして二段階認証を設定すべき！

これは意味がないです。なぜなら、もうおわかりだと思いますが、Facebookアプリはパスワードを使用していません。
いくらパスワードを変更しようとも、二段階認証を設定しようとも、アクセストークンが有効な限り、Facebookアプリはあなたの情報を取得できてしまいます。
なのでこの点に関しては、二段階認証も無意味です。
（ただ一般論として、現代では二段階認証の有無で情報流出のリスクが段違いなので、二段階認証は設定するようにしてくださいね）

アプリを使用すると、個人情報を抜かれるんでしょ？

これは、上で解説している「スコープ」次第です。スコープで設定した内容のみ、Facebookから情報が取得できます。
ちなみに標準設定だと、アプリが取得できるのは、
※2018/09/02 1:00訂正
・id
・名前
・公開プロフィール(プロフィール写真、性別など)
です。
※当初、idと名前のみと記載しておりましたが、公開プロフィールも含まれておりました。訂正いたします。
なお、公開プロフィールは、Facebookに登録していなくても、誰でも閲覧できる情報になります。

これらはFacebookの画面からかんたんに取得できる、公開情報になります。
それ以上の情報は、アプリごとに設定されているスコープ次第です。ログイン画面でユーザーが許可した内容のみ、Facebookアプリに渡すことになります。

この設定によって、例えば以下のような情報をアプリに渡すことになります。
・メールアドレス
・誕生日
・写真
・タイムライン投稿の一覧
なにかに悪用しようと思えば十分ですね。
そのため、Facebookアプリを使用する場合、ログイン時の「受け取る情報」がどうなっているかを確認し、自己判断で行ってください。
ちなみに、実際に個人情報悪用のニュースもあるようです。
https://r.nikkei.com/article/DGXMZO29264270R10C18A4X11000?s=0

友達のあの人がFacebookアプリを使用すると、自分の個人情報まで流出するからやめろ！！

これは明確にNOです。
その根拠は、Facebook APIの「友達リスト」の仕様に記載があります。
https://developers.facebook.com/docs/graph-api/reference/v3.1/user/friends
ざっくり和訳すると、以下になります。

↓↓↓↓↓↓
友達リスト
あなたに以下の情報を提供します
・このFacebookアプリをインストールした、あなたの友達ユーザーの一覧
・あなたの友達ユーザーの総数（このFacebookアプリをインストールしていないユーザーを含む）
↑↑↑↑↑↑

つまり、悪意のあるアプリを友達が利用しちゃってたとして、あなたがそのアプリを使用しない限り、あなたの情報を友達が取得することは出来ません。

キャンディークラッシュを例にとります。キャンディークラッシュのアプリで取得できる、Facebookの友達の情報は、すでにキャンディークラッシュをインストールしている友達のもののみです。
キャンディークラッシュを使用していないユーザーの情報を、キャンディークラッシュが取得することは出来ません。

なので、どれだけ友達が変なアプリを使用していようが、イライラする必要はないです。ご安心を。

じゃあなんでレイ○ンの投稿や乗っ取りは終わらないの？

Facebookアプリとは別の原因の可能性が高いです。例えばパスワード使い回しとかね。
最低限パスワード使い回しは辞めて、二段階認証の設定は行いましょう。起こってからでは遅いです。

他のブログで、「個人情報が抜かれる！！」「こんなのやる人は頭が悪い！！」と書いてあったんだけど

たぶん技術的なことが分かっていない人が書いたブログだと思います。それかアクセス稼ぎか。
「Facebookにログイン」のときに書かれている項目以外の情報が、Facebookから抜き出されていたとしたら、それはFacebookの大セキュリティ事故です。それも株価大暴落ってレベルじゃない。
そんなことができるとしたら、真っ先にこっそりFacebookに報告しましょう。すごい報酬がもらえるはずです。
・・・まあ、それぐらい有り得ないレベルですね。

結局、Facebookアプリは100％安全なの？

100％安全という訳ではないです。
乗っ取りや、関係ない友達の情報を悪用されることはありませんが、あなたの個人情報悪用のリスクがあります。

難しくて、良く分からなかった！

アプリを使用しないのが無難です。

まとめ

以上、Facebookアプリの仕様をまとめました。
昔はFacebookアプリは、割と自由だった記憶があります。なので友達の情報を勝手に利用とか、そういうことが起きていたのかもしれません。
が、最近厳しくなったようです。悪意のある業者が勝手に投稿など行ったんでしょう。
それもあってか、少なくとも2018年現在では、アプリに関するセキュリティはかなり厳重になっております。なので、悪意のあるアプリによる被害というのは、限りなく低いと思います。
（考えてみると、Facebookアプリのそういった投稿、昔に比べて減ってますよね）

ただ、それでもリスクが無いわけではないです。
例えば診断系のアプリでは、写真を使うものがあります。
「写真を取得」のスコープを設定すれば、アプリがログインユーザーの写真を取得することが出来ますので、その写真を使って、どうこうすることは考えられます。

なので、やはりFacebookアプリを使用する場合は、自己判断で行うほうが良いです。
そのアプリが信頼できる業者なのか、その辺は自分自身で判断してください。

最後に

Facebookアプリが、情報を取得できないようにする方法です。
この方法を実行すれば、実行後はFacebookアプリは、一度許可していたとしても、情報を取得することができなくなります。
その手順は以下のURLをご参照ください。（書こうとしたけど力尽きた）
https://www.facebook.com/help/204306713029340

つづき

個人情報提供のリスクについて書きました
https://develop.kajitori.co.jp/?p=100