サイトアイコン TechWave(テックウェーブ)

Facebookが緊急声明、“デジタルの鍵” – 約5000万アカウント分が盗難危機


米Facebookは現地時間の2018年9月28日、システムの脆弱性を突きユーザーのログインに使われるデジタルの鍵(アクセストークン)が盗まれる問題が発覚したとの緊急声明を発表しました。Facebookはすでに脆弱性を修正し、アクセストークン情報をリセットしています。流出懸念があった対象ユーザーアカウントは約5000万件におよぶとのこと。

同社はユーザーがパスワード変更をするなどの措置をする必要はないとしていますが、さらに予防措置として設定の「セキュリティとログイン」で不正なログインがないか確認したり一度ログアウトすること等が提唱されています。

プロフィール「プレビュー機能」の脆弱性

問題は2018年9月25日の午後1時8分(日本時間の2018年9月26日早朝4時8分)に約5000万件のアカウントに影響を与えるセキュリティ問題=脆弱性を発見されたことに始まります。

この脆弱性は、プロフィールページが他のユーザーにどのように見えるか表示をする機能を悪用することが可能で、ユーザーのアクセストークンを盗み、乗っ取ることが可能です。

このアクセストークンは、ユーザーがたびたびIDとパスワードを入力してログインしなくても済むように、認証情報を保管しておくもので、ユーザーがログアウトすればリセットされ使えなくなります。Facebookはすでに対象アカウントのアクセストークンのリセットを実施済みです。

計9000万件のアクセストークンをリセット

アクセストークンが危険な状態になっていたユーザーアカウント約5000万件および、影響が及ぶと見られるアカウント4000万件は、再度ログイン手続きをする必要があります。その際は以下のような警告が表示されるとのことです。

今回の声明は問題発生の初期段階に行われたもので、実際この脆弱性を使ってアクセストークンが盗まれ悪用されたか、またそれはどのような規模なのか判断するに至っていません。なお、この問題はFacebookのウェブサイトやアプリのみならず、InstagramやOculusのFacebookアカウント経由のログインにも影響があるとのことです。

【関連URL】
・[リリース] Security Update

蛇足:僕はこう思ったッス
今回の脆弱性は複雑なシステムの相互作用の動きの隙を突くものとのこと。仮想通貨のみならずアクセストークン(鍵)の盗難がどれほど危険かを感じさせられた。サービスの価値が高まるほど、こうしたシステム面の開発スタンス(またはサービス提供ポリシー)は脆弱性を招きやすくなる。早い対応は歓迎すべきだし、ユーザーとしての対策もあるのが救い。ただ、立て続けに発生する深刻な情報流出については、セキュリティレベル向上のみならず利用者の意識向上、事業責任者の認知など多面的な取り組みが無い限り解消することは無いように思う。 

モバイルバージョンを終了