米Facebookは現地時間の2018年9月28日、システムの脆弱性を突きユーザーのログインに使われるデジタルの鍵(アクセストークン)が盗まれる問題が発覚したとの緊急声明を発表しました。Facebookはすでに脆弱性を修正し、アクセストークン情報をリセットしています。流出懸念があった対象ユーザーアカウントは約5000万件におよぶとのこと。
同社はユーザーがパスワード変更をするなどの措置をする必要はないとしていますが、さらに予防措置として設定の「セキュリティとログイン」で不正なログインがないか確認したり一度ログアウトすること等が提唱されています。
プロフィール「プレビュー機能」の脆弱性
問題は2018年9月25日の午後1時8分(日本時間の2018年9月26日早朝4時8分)に約5000万件のアカウントに影響を与えるセキュリティ問題=脆弱性を発見されたことに始まります。
この脆弱性は、プロフィールページが他のユーザーにどのように見えるか表示をする機能を悪用することが可能で、ユーザーのアクセストークンを盗み、乗っ取ることが可能です。
このアクセストークンは、ユーザーがたびたびIDとパスワードを入力してログインしなくても済むように、認証情報を保管しておくもので、ユーザーがログアウトすればリセットされ使えなくなります。Facebookはすでに対象アカウントのアクセストークンのリセットを実施済みです。
計9000万件のアクセストークンをリセット
アクセストークンが危険な状態になっていたユーザーアカウント約5000万件および、影響が及ぶと見られるアカウント4000万件は、再度ログイン手続きをする必要があります。その際は以下のような警告が表示されるとのことです。
今回の声明は問題発生の初期段階に行われたもので、実際この脆弱性を使ってアクセストークンが盗まれ悪用されたか、またそれはどのような規模なのか判断するに至っていません。なお、この問題はFacebookのウェブサイトやアプリのみならず、InstagramやOculusのFacebookアカウント経由のログインにも影響があるとのことです。
【関連URL】
・[リリース] Security Update
蛇足:僕はこう思ったッス
