Baldanders.info

[いいね!] を「承認」?

最近, Facebook の [いいね!] ボタンを押すと「承認」のリンクが出るサイトをよく見かけるようになった。 どうやら「承認」のリンク先で改めて [いいね!] としないと反映されないらしい。

私は Facebook の機能には疎いため意味がわからず Wall でつぶやいてみたのだが,似たような症状に遭われた方もいるらしい。 もしやクリックを盗聴する新手の Phishing か,と思ってググッてみたら Facebook がわざとやってるようだ。

「その「承認」ボタンは、最近の導入した「いいね」ボタンに対する”like-jacking attack” への対応の一環です。 ボタンの使われ方などを基準に、ボタンの設置ページで”like-jacking”が発生してることが推測された場合に、「承認」のステップが入ることになります。」 (「briccolog ≫ facebookの「いいね」ボタンに「承認」が必要となるケースについて」より)

「最近」とは2011年3月時点から見ての「最近」。 で,その “like-jacking attack” ってなんじゃら? ということになるのだが,

「likejacking 攻撃とは、Facebook の「いいね!」ボタンを悪用するもの。 利用者の許可なくウォールに偽の「いいね!」ボタンを設置する。 友人が偽の「いいね!」ボタンをクリックすると、外部の不正サイトへ誘導されてしまう。
ほとんどの場合、偽ボタンをクリックしても、利用者のウォールに動画が投稿され、Facebook 内でその動画が増殖するだけで、それほど大きな被害は報告されてはいない。 しかし、中にはマルウェアを利用者のコンピューターにダウンロードし、アカウント情報を盗むものもあるという。」 (「「いいね!」ボタン悪用、Facebook 動画の15%に - インターネットコム」より)

というわけで, [いいね!] ボタンを悪用した一種の Phishing らしい。 つまり, Facebook が [いいね!] ボタンに “like-jacking attack” が仕込まれていると判断したサイトでは, [いいね!] ボタンを押しただけでは機能せず,いったん「承認」のプロセスを経なければならなようだ。 しかも “like-jacking attack” かどうかの判定は確実性がない上に自動化されていて,手動で回復できないんだとか。

しかし,このやり方はスジが悪くないか? 実際,覚えがないのに Phishing サイト扱いされているサイトは多いらしい(能動的失敗)。 それに「承認」のプロセス自体が Phishing に見えてしまうため(私のようなうっかり者はともかく)慎重な人間なら「承認」なんかしないだろう。 つまり Facebook のタコなアルゴリズムで “like-jacking attack” の冤罪を受けたサイトは,それ故にユーザから敬遠されてしまうわけだ。

まぁ Facebook のヘボい実装によってユーザの Activity が集まらなくなるのは,まぁ Facebook の自業自得なので大した問題ではないのだが,必死に [いいね!] をかき集めてるサイト運営者の皆さんにはお気の毒としか言いようがない(うちは辺境なので関係なし)。

ところで余談だが, [いいね!] といえば最近 Tumblr 経由で「【Facebook】俺「飼っていた犬のポチが死にました…」友達「いいね!」俺「いいね!って何だよ!!」」ってのを見かけたが,ネタにマジレスすれば, “Like” を「いいね」と訳すのは “Like” の機能の半分しか表していない。 なので,関心のあるものにはバンバン [いいね!] を付けて OK です。