前回の記事で、Facebookアプリの仕組みと、そのリスクや、巷で言われていることの真偽を記載しました。
https://develop.kajitori.co.jp/?p=97

その中で特に言いたかったのは、

• Facebookアプリを使っても、アカウントが乗っ取られることはない
• Facebookアプリが、アプリを使用していない別の友だちの情報を取得することはできない
  といったことです。

なので、「Facebookアプリを使用すると、パスワード流出して乗っ取られるよ」「友だちの情報を守るためにFacebookアプリを使用するな」といった記事が散見されますが、
そのような記事は盛り過ぎなのでご注意ください。
※ただし、アプリからタイムラインに投稿されるリスクはあります。それは前回の記事参照

しかし、個人情報提供のリスクについては、注意が必要です。
巷では、すでにアプリを使用している方に対し、「対策はアプリの削除」というものがあると言われています。
しかし、それだけでは済まない、非常に重要なリスクがあります。それは、「後でアプリ削除すればいいや」では済まない問題です。
今回はその点を解説します。いつものように技術的な観点も含みます。
結論だけまとめた分かりやすい記事は、誰かにお任せします笑

先に結論を書くと(最低限これだけ)

• Facebookアプリを使用した場合の対策として、Facebookから「アプリの削除」を行うというものがあるが、それはあくまでも、「新しくFacebookから情報を取得できない」ということだけ
• 一度でもアプリを使用すると、それだけでアプリの開発者（業者など）に個人情報を渡す
• そして、その個人情報は永続的に保管される可能性がある
• それが嫌な人は、やはりアプリを使用しないのが吉
• ただ、Facebookアプリは実は浸透しているので、どのアプリを使用するか、必ず吟味すること

データベースについて(システム的なお話)

Facebookアプリをはじめ、一般的なシステムでは、「データベース」と呼ばれる仕組みを備えています。
データベースとは、ざっくりいうと「情報を貯めて、情報の検索や更新などに使用するための仕組み」のことです。

例えばTwitterだと、
・TwitterのユーザーのIDやメールアドレス、表示名
・つぶやいた日時、投稿
・つぶやきの「いいね」や「リツイート」
などは、すべて「データベース」とよばれる仕組みに蓄積され、WebページやTwitterアプリで使用されます。

他の例としては、ソシャゲのパズドラで、
・パズドラのユーザー情報
・所有しているモンスター情報
・ダンジョン攻略情報
などもすべて、データベースに保持しています。（※パズドラあんまり詳しくないです）

このように、システムを構築する際には切っても切れない仕組み、それがデータベースです。

では、Facebookアプリではどのように、データベースを使用しているのでしょうか？
※それぞれのFacebookアプリで使われ方は違いますので、あくまでも「こう使われているかも、可能性がある」というニュアンスで読んでください。すべてのFacebookアプリがこの例ではありません。

まずは、ログインユーザーごとの「アクセストークン」を保存しています。
アクセストークンは、前回も記載したように「Facebookからユーザー情報などを取得する際に使用する文字列」のことです。
※詳しくは前回参照

このトークンを保存しておくことで、今後ユーザーが再ログインしなくても、Facebookからユーザー情報などを取得することが出来るようになります。
ユーザーはわざわざFacebookにログインする必要がなく、アプリを使用できるようになるので、結構便利です。

そして、こっからが非常に重要なのですが、Facebookから取得したユーザー情報、すなわちidや名前など公開情報を、データベースに保存しています。
これはアプリ内で、名前などを表示するために使用しています。

Facebookアプリの対策「アプリの削除」について

診断系Facebookアプリの危険性を謳っているサイトで、対策としてだいたい書いているのが、「アプリの削除をする」です。
具体的には、Facebookの設定画面の「アプリとウェブサイト」から、該当するアプリを削除することです。

https://www.facebook.com/help/204306713029340

不審なアプリがあったとして、この手順は正しいです。この手順を行うとどうなるかを解説します。

アプリを削除すると、Facebookアプリがアクセストークンを使って、Facebookから情報を取得することが出来なくなります。

他にも、Facebook設定からアプリを削除することで、Facebookアプリがタイムラインに、投稿を行うことも出来なくなります。
そのため、不審なアプリを設定から削除するというのは、間違いなく必要な手順です。

ですが、ここで大きな落とし穴があります。
先ほど、各Facebookアプリでは、データベースという仕組みで、個人情報などを保存している、という話をしました。
ですが、Facebook設定からアプリを削除しても、このFacebookアプリのデータベースから、あなたの個人情報が削除されることはありません。
あくまでも、「新しく」Facebookの情報をアプリが取得できないだけで、
データベースに保存済みのデータは削除されることはなく、永続的に保存されたままです。

ネガティブに言い方を変えると、
Facebookアプリで「Facebookにログイン」をし、アプリにログインを行った時点で、その後設定からアプリを削除したとしても、あなたの情報は業者のデータベースに、ずっと保存されたままになります。

もしアプリの開発者が、非常に悪徳な業者であった場合、このデータベースに保存した情報をもとに、おそらく悪いことをしていくことになるでしょう。
スパムメールを送ったり、・・・その他色々なことが起きてしまいます。

仮にこんなアプリに、一度でもログインしてしまったら、
あなたの氏名も誕生日も、出身地も写真も動画も性別もタイムラインも年齢層も、すべて・・・ずっと保存されたままです。
非常に非常に危険ですね。

対策

確かに、アプリ利用による乗っ取りは起きません。
そして、アプリを利用していない友達の情報を、アプリが取得することも出来ません。なので関係ない人に迷惑をかけることもありません。

しかし、この「アプリに個人情報を渡す仕組みやリスク」については、重々承知する必要があります。

この対策ですが、適切かつ明確なのが、
アプリを利用しない
というのが一番です。

ですが、このFacebookアプリの仕組み、実は意外と色んなところで使われています。
例えば前回紹介した「キャンディークラッシュ」。

これもFacebookの友達情報と連携して、アプリに活用しています。
なので、厳密に言えばこのようなアプリも使用できなくなります。

他にも、グルメ系の投稿サイト「Retty」も、Facebookログインを用意しています。

このサイトを利用する場合、このRettyにも、他のアプリと同様に情報を提供することになるので、ログインできなくなっちゃいます。

すなわち何が言いたいかと言うと、このFacebookアプリの仕組み、すでに世の中で色んな所で使われているわけです。
もし、本当にこれらを使わない、となると、けっこう不自由を受ける可能性があります。
悪いのは悪徳な業者です。真っ当な会社やシステムであれば、本来であればアプリを利用しても問題ないはずです。

なので大切なことは、
・どのアプリを使用するかどうかを、必ず吟味すること。情報を提供する先の会社はどんな業者かを必ず確認すること
・Facebookアプリにログインする前に、「受け取る情報」がどうなっているかを必ず確認すること
・一度でもアプリにログインを行ったら、その後アプリを削除したとしても、情報はアプリに渡っていることを理解すること
・すべては自己責任
ということです。

結論

不安だったら利用しない
すべては自己責任と理解した人だけアプリを使用すべし

はじめに

最近、筆者の周りで
「Facebookの診断系アプリは危険」
「あらゆる個人情報を、業者に渡すことになる」
「やってしまうと、Facebook乗っ取られたり、投稿」
「やってしまった方は、今すぐパスワードを変更して二段階認証を設定するべき」
という話が上がっていました。

Facebookの診断系アプリというと、例えば今だと以下のようなものです。

これ系のアプリの診断結果は、ちょいちょいFacebookのフィードにも上がってきますね。

これらのアプリをあまりやらないほうがいいのは、筆者も同意見です。
ですが、「ものすごく危険」「やると乗っ取られる」といったこととは、事実と若干異なる部分があります。

そこで今回は、

• Facebookアプリとはそもそもなにか
• どのような情報を取得しているか
• どのような仕組みなのか
• 巷で言われていることの事実・間違いの切り分け

を、可能な限りシステム疎い方でも分かるように、頑張って解説していこうと思います！

※個人の見解を含みます。また間違いや情報の更新などございましたら、ご指摘いただければ幸いです。

先に結論を書くと(最低限これだけ)

• Facebookアプリはパスワードを盗めないから乗っ取りも出来ないから安心しろ
• あなたの友達がどんなアプリを使用していても、あなたには影響がない
• ただし、アプリの設定によっては「あなたに代わって投稿」は出来ちゃうから、そこだけ注意
• また、アプリの設定によっては「個人情報を不必要に悪用」されるリスクはある
• 100％安全というわけではないので、アプリ使用時の設定を必ず確認し、自己責任で使用すること

Facebookアプリとは？

ざっくり言うと、Facebookの情報を使用したアプリすべてです。
それはWebサイトの場合も、スマホのアプリの場合もあります。

例えば、前述したWebサイトの「nametests.com」は、典型的なFacebookアプリです。
https://ja.nametests.com/

Facebookの情報を使用して、診断や占いなど行うものですね。

一方で、スマホのアプリでも、Facebookの情報を使用しているものがあります。
例えば、一時期筆者もやっておりました「キャンディークラッシュ」。
これはアプリの設定で、「Facebookでログイン」という表記がされています。

よくある診断系だけでなく、このようなスマホのアプリも、立派なFacebookアプリです。

そして、そのFacebookアプリをユーザーがはじめて使用するとき、このような表示がされます。

よく見るやつですね。
そして、「裕としてログイン」をクリックすることで、アプリ（写真の場合はnametests.com）が、ユーザーの情報を取得することができるわけです。

Facebookアプリの仕組み

さて、ここからはFacebookアプリの仕組みを、簡単に解説します。
順を追って解説していきますね。

開発者がFacebookアプリを作る時

開発者がFacebookアプリを開発する際、「このアプリは、Facebookのどの情報を取得するか？」という情報を、開発者はあらかじめ設定しておきます。
例えば、

・ユーザーのEメールアドレス
・ユーザーの写真一覧
・ユーザーの誕生日
・ユーザーの性別
・ユーザーのタイムライン一覧
・友達リスト
といった情報です。

このような情報を、アプリごとに、あらかじめ設定しておく必要があります。ちなみにこれらの設定を「スコープ」といいます。

なお、ここで1点特記事項としては、これらの項目として、パスワードを設定することは出来ません。
Facebookアプリはパスワードを取得することは出来ませんし、変更することも出来ません。

ユーザーがFacebookアプリを使用する時

そして、Facebookアプリを使用する場合です。
下の画像のように、Facebookアプリを使用する際、「Facebookにログイン」のボタンをクリックします。

すると、上にも貼り付けた画像が表示されます。

ここで重要なのは、赤線で囲った部分です。
これは、これから使用するFacebookアプリが、Facebookから取得する情報・もしくは使用する権限を、一覧で表示します。

ちなみにキャンディクラッシュの場合はこちらです。

「友達リスト」が含まれていますね。なのでキャンディクラッシュは、ログインしたユーザーの友達リストも取得することができるようになっています。
（そして、この「友達リスト」についても重要な事実があります。詳しくは後述します）

ユーザーは、ここに書かれている情報を確認することで、「これから使用するFacebookアプリは、いったいどんな情報を使用するか」ということを、確認することができるわけです。

なので、必要以上にてんこ盛りだと、「あれ、なにか怪しくない？」となるわけです。
設定を大量にぶち込むと、こんな感じになります。

これはあからさまに怪しいですねｗこのようなアプリは怪しいので、ユーザーは使用しない方がいいです。

ユーザーがFacebookにログイン後、アプリで行っていること

「Facebookにログイン」を実施した後、アプリ内部でどのような処理を行っているかを説明します。

まず、ログインすることで、Facebookから「アクセストークン」と呼ばれる、超長い文字列が返ってきます。

こんな感じの文字列です。実際には200字以上あります。

この文字列を使用して、アプリはFacebookから、情報を取得するわけです。
例えば、ログインユーザーのプロフィールを、アプリから取得したい場合、

・先ほど取得したアクセストークン
・取得したい内容
この2点をFacebookに渡します。

こうすることによって、Facebookはプロフィール情報を、アプリに送り返すわけです。

ちなみにここで取得できるのは、ユーザーがログインしたときに設定している、「スコープ」の範囲内です。
上の画像で使用している例でいうと、アプリBでは「友達リスト」を設定しています。
そのため、アプリは友達リストを取得することができます。

一方、アプリAでは「友達リスト」を、取得する情報として設定していません。
そのため、仮にアプリAが友達リストを取得しようとすると、エラーが発生して取得できません。

このように、Facebookから情報を受け取ったアプリは、この情報を使用して、その後のプログラムで活用できることになります。

※この仕組みは、システム用語で言うと「API」と呼ばれます。
また、ログインなどの仕組みを「認証」「認可」、Facebookアプリで採用している仕組みは「OAuth2」と呼びます。
テストには出ないです。

これが、Facebookアプリの一連の流れです。
ここで重要なのは、
・Facebookアプリでは、ログインユーザーのパスワードを受け取っていないし、受け取ることは決して出来ない
・ログインユーザーの情報は、「アクセストークン」と呼ばれる超長い文字列を使用することで、取得できる。そしてこれは、パスワードを使用しない
・Facebookアプリがアクセストークンを取得するためには、ログインユーザーが一度、「Facebookでログイン」ボタンを押す必要がある
ということです。

巷で言われている話の真偽、QA

これらの話を踏まえ、Facebookアプリ（特に診断系）について、巷で言われていることの真偽やQAをまとめていきます。

Facebookアプリを使用すると、アカウントが乗っ取られる！！

「乗っ取られる」の定義が何かによりますが、「IDパスワードが盗まれる」「自分のアカウントを誰かに勝手に使われる」という意味だと、それはNOです。
なぜなら、Facebookアプリはログインユーザーのパスワードを取得することが出来ないからです。
パスワードを取得出来ないので、悪意のある開発者が、その後のアカウントをどうこうしようとしても、それは出来ません。
※ただしFacebookアプリでは、「タイムラインの投稿」というスコープがあります。これは文字通り、Facebookアプリが、ログインユーザーのタイムラインに投稿をすることができる権利です。
そのため、アプリのスコープに「タイムラインの投稿」が含まれていた場合、悪意のあるアプリが、ユーザーにタイムラインに投稿することは出来てしまいます。そこは要注意です。

診断系アプリを使用してしまったら、今すぐパスワード変更をして二段階認証を設定すべき！

これは意味がないです。なぜなら、もうおわかりだと思いますが、Facebookアプリはパスワードを使用していません。
いくらパスワードを変更しようとも、二段階認証を設定しようとも、アクセストークンが有効な限り、Facebookアプリはあなたの情報を取得できてしまいます。
なのでこの点に関しては、二段階認証も無意味です。
（ただ一般論として、現代では二段階認証の有無で情報流出のリスクが段違いなので、二段階認証は設定するようにしてくださいね）

アプリを使用すると、個人情報を抜かれるんでしょ？

これは、上で解説している「スコープ」次第です。スコープで設定した内容のみ、Facebookから情報が取得できます。
ちなみに標準設定だと、アプリが取得できるのは、
※2018/09/02 1:00訂正
・id
・名前
・公開プロフィール(プロフィール写真、性別など)
です。
※当初、idと名前のみと記載しておりましたが、公開プロフィールも含まれておりました。訂正いたします。
なお、公開プロフィールは、Facebookに登録していなくても、誰でも閲覧できる情報になります。

これらはFacebookの画面からかんたんに取得できる、公開情報になります。
それ以上の情報は、アプリごとに設定されているスコープ次第です。ログイン画面でユーザーが許可した内容のみ、Facebookアプリに渡すことになります。

この設定によって、例えば以下のような情報をアプリに渡すことになります。
・メールアドレス
・誕生日
・写真
・タイムライン投稿の一覧
なにかに悪用しようと思えば十分ですね。
そのため、Facebookアプリを使用する場合、ログイン時の「受け取る情報」がどうなっているかを確認し、自己判断で行ってください。
ちなみに、実際に個人情報悪用のニュースもあるようです。
https://r.nikkei.com/article/DGXMZO29264270R10C18A4X11000?s=0

友達のあの人がFacebookアプリを使用すると、自分の個人情報まで流出するからやめろ！！

これは明確にNOです。
その根拠は、Facebook APIの「友達リスト」の仕様に記載があります。
https://developers.facebook.com/docs/graph-api/reference/v3.1/user/friends
ざっくり和訳すると、以下になります。

↓↓↓↓↓↓
友達リスト
あなたに以下の情報を提供します
・このFacebookアプリをインストールした、あなたの友達ユーザーの一覧
・あなたの友達ユーザーの総数（このFacebookアプリをインストールしていないユーザーを含む）
↑↑↑↑↑↑

つまり、悪意のあるアプリを友達が利用しちゃってたとして、あなたがそのアプリを使用しない限り、あなたの情報を友達が取得することは出来ません。

キャンディークラッシュを例にとります。キャンディークラッシュのアプリで取得できる、Facebookの友達の情報は、すでにキャンディークラッシュをインストールしている友達のもののみです。
キャンディークラッシュを使用していないユーザーの情報を、キャンディークラッシュが取得することは出来ません。

なので、どれだけ友達が変なアプリを使用していようが、イライラする必要はないです。ご安心を。

じゃあなんでレイ○ンの投稿や乗っ取りは終わらないの？

Facebookアプリとは別の原因の可能性が高いです。例えばパスワード使い回しとかね。
最低限パスワード使い回しは辞めて、二段階認証の設定は行いましょう。起こってからでは遅いです。

他のブログで、「個人情報が抜かれる！！」「こんなのやる人は頭が悪い！！」と書いてあったんだけど

たぶん技術的なことが分かっていない人が書いたブログだと思います。それかアクセス稼ぎか。
「Facebookにログイン」のときに書かれている項目以外の情報が、Facebookから抜き出されていたとしたら、それはFacebookの大セキュリティ事故です。それも株価大暴落ってレベルじゃない。
そんなことができるとしたら、真っ先にこっそりFacebookに報告しましょう。すごい報酬がもらえるはずです。
・・・まあ、それぐらい有り得ないレベルですね。

結局、Facebookアプリは100％安全なの？

100％安全という訳ではないです。
乗っ取りや、関係ない友達の情報を悪用されることはありませんが、あなたの個人情報悪用のリスクがあります。

難しくて、良く分からなかった！

アプリを使用しないのが無難です。

まとめ

以上、Facebookアプリの仕様をまとめました。
昔はFacebookアプリは、割と自由だった記憶があります。なので友達の情報を勝手に利用とか、そういうことが起きていたのかもしれません。
が、最近厳しくなったようです。悪意のある業者が勝手に投稿など行ったんでしょう。
それもあってか、少なくとも2018年現在では、アプリに関するセキュリティはかなり厳重になっております。なので、悪意のあるアプリによる被害というのは、限りなく低いと思います。
（考えてみると、Facebookアプリのそういった投稿、昔に比べて減ってますよね）

ただ、それでもリスクが無いわけではないです。
例えば診断系のアプリでは、写真を使うものがあります。
「写真を取得」のスコープを設定すれば、アプリがログインユーザーの写真を取得することが出来ますので、その写真を使って、どうこうすることは考えられます。

なので、やはりFacebookアプリを使用する場合は、自己判断で行うほうが良いです。
そのアプリが信頼できる業者なのか、その辺は自分自身で判断してください。

最後に

Facebookアプリが、情報を取得できないようにする方法です。
この方法を実行すれば、実行後はFacebookアプリは、一度許可していたとしても、情報を取得することができなくなります。
その手順は以下のURLをご参照ください。（書こうとしたけど力尽きた）
https://www.facebook.com/help/204306713029340

つづき

個人情報提供のリスクについて書きました
https://develop.kajitori.co.jp/?p=100