Facebookアプリを使えばいとも簡単にメールアドレスを抜けると言うことを知らない人が多すぎる

12.22
2014

app_spam0

某「**新聞」なるアプリが流行ってますが。まあそれはそれとして。
Facebookアプリを承認したら、簡単にメアド抜かれてしまっているというのはご存知でしょうか。
ご存知の方はスルーしてください。

以前よりスパム的アプリは様々なタイプがありますが、大きく種類を分けると下記の通りです。

  • アプリが勝手に自分のタイムラインに投稿する
  • アプリが勝手に自分の友人にメッセを送る
  • アプリに登録すると強制的に特定のページにいいね!を押したことになる
  • アプリ経由でメアドを抜かれる

しかし、Facebook様も色々と仕様を変えたり規約を変えたりしながら一つずつ潰していったので現状はこれらはそう簡単には出来なくなっています。

  • アプリが勝手に自分のタイムラインに投稿する
    →アプリの審査が必要
  • アプリが勝手に自分の友人にメッセを送る
    →アプリの審査が必要
  • アプリに登録すると強制的に特定のページにいいね!を押したことになる
    →基本的に、規約で禁止された
  • アプリ経由でメアド・名前・性別を抜かれる
    →ユーザーが拒否できる

問題は、最後の「アプリ経由でメアド・名前・性別を抜かれる」です。
一応ユーザーが意思を持ってオプトアウトすることはできるものの、何も考えずにアプリを承認したらその瞬間に抜かれます。
そして、この機能は特にアプリを審査に通さずとも利用できるのです。

アプリ経由でメアド・名前・性別を抜くのは簡単

試してみましょう。

メアド取得テスト アプリ

↑のテストページで認証してみてください。
あなたがFacebookに登録しているメールアドレスと、名前・性別が表示されます。
(名前・性別の取得も審査はいりません。)
このタイミングでこちらがDBに保存してれば、その後でいくら頑張ってFacebook上でアプリとの連携を削除しようが関係ありません。

※なお、ブラウザに表示するだけでDBには保存してませんが、まあ自己責任でどうぞ。

コードもJSのみ、知識のある人なら5分で書けるレベルです。

Web検索すれば名簿を売買するクズみたいな業者が山ほど出てきますが、名前・性別・メアドがそろってれば、1件1円~10円ぐらいで売れるんじゃないですかね。

メアドを抜かれるのを防ぐ方法

これ、知ってる人は知ってると思いますが、知らない人は一生知らないと思います。

アプリを初めて利用する際に、認証画面が出ますよね。

app_spam1

これです。
この画面で、「提供する情報を変更」をクリックしてください。

※なお、古いアプリだと「提供する情報を変更」のリンクが出ませんが、そんな古いアプリは危ないので使わない方が良いです。(古いアプリは来年4/30で全滅します。)

そうすると、アプリが取得しようとしている情報や権限が一覧で出てきます。

app_spam2

例えばメールアドレスを抜かれたくない場合は、ここで「メールアドレス」の右側にあるチェックを外せばOK。
デフォルトでは当然チェックが入ってます。

なお、合わせて「アプリの利用規約」や「プライバシーポリシー」などにも目を通すことをお勧めします。
アプリを提供している法人なりの名前やHPなど、提供者をしっかりと示している場合はともかく、クズアプリはたいてい提供者が誰なのかわからない内容になってますんで。
酷い場合には、全然別のアプリの規約を使いまわしててアプリ名が違ってたりね。

名前・性別を抜かれるのは防げない

先ほどの「提供する情報を変更」の画面でも、「公開プロフィール」という情報はチェックを外すことが出来ません。
名前や性別はここに含まれますので、残念ながらこれらの情報は問答無用で提供されてしまいます。

※Facebookが「匿名ログイン」と言う仕組みをリリースしているので、今後は真っ当なアプリに関してはこれらを提供しなくても良いアプリも増えていくと思います。

メアドをアプリに提供しない場合の注意点

当たり前の話ですが、アプリ事業者からあなたに連絡することが出来なくなります。
例えば懸賞アプリなんかで当選連絡が送れなくなる、などは考えられますので、その辺はご自身でお考えください。

たかがメールアドレス、されどメールアドレス。

はなから捨てアドで利用されているような方はともかく、何も知らず普通にメインのアドレスで利用している方は、友達が面白そうな診断アプリや占いアプリ、便利そうなアプリを使っているからと言ってほいほい承認してたらあっという間に迷惑メールが来るでしょう。

迷惑メールが来る程度ならフィルタしとけば問題ないという意見もあるかもしれませんが、その迷惑メールの中にはフィッシングや添付ファイルにウイルスを含むようなものが来るかもしれません。
(ま、それでもクリックしなきゃいい話ですけど。)

Facebookのアプリは、確実に信頼できるもの以外は承認しないことをお勧めします。