2018年9月末に明らかになった、約5,000万に及ぶとされるFacebookのユーザー情報流出事件。この件に関し、本記事では10月1日時点での状況をまとめている。また、この機会に改めて見直したいFacebookのセキュリティ設定についても言及した。ぜひ一読の上、参考にしてほしい。
この記事は、ESETが運営するマルウェアやセキュリティに関する情報サイト「Welivesecurity」の記事を翻訳したものである。(本記事は2018年10月1日に掲載)
9月28日 (金)にFacebook社は、攻撃者がコードの脆弱性を突き「Facebookのユーザーアカウントの代替として機能するアクセストークンを盗み出した」ことを明らかにした。
約5,000万のユーザーアカウントに関連するアクセストークンが盗まれ、被害を受ける可能性があることが判明。アクセストークンとは「デジタルキー」として、ユーザーのFacebookログイン状態をコンピューター上に保存することで、閲覧のたびにパスワードを入力するという手間を省いてくれるものだ。
Facebook社のプロダクトマネジメント担当バイスプレジデントであるガイ・ローゼン (Guy Rosen) 氏によれば、「コードには複雑に絡み合った問題がいくつかあり、今回の攻撃はこれを悪用している。2017年7月におこなった動画アップロード機能のアップデートに伴い生じた、『View As (特定のユーザーへのプレビュー)』機能のバグが関与している」とのことだ。よく使用される 「View As」ツールとは、ユーザーが自分のプロフィールが他のユーザーからどのように表示されているかを確認できる機能である。
Facebook社が後日明らかにしたとおり、攻撃者は3つの異なるバグを同時に悪用したと思われる。同社はセキュリティホールにパッチを適用し、「View As」機能を一時停止することでこの脆弱性に対処した。
Facebookは毎月22億人以上のユーザーに利用されているが、「View As」ツールの利用率が異常な増加傾向を示したことから内部調査がおこなわれた結果、9月25日にエンジニアが攻撃の痕跡を見つけ出した。
今なお調査中(※2018年10月1日時点)ではあるものの、アカウントの不正利用や口座・個人情報の漏えいや悪用などの状況については依然として明らかになっていない。攻撃者が誰なのか、その動機すら残念ながら分かっていない。
自分のアカウントに影響があるかどうかを知るには
Facebook社のCEOであるマーク・ザッカーバーグ (Mark Zuckerberg) 氏とCOOであるシェリル・サンドバーグ (Sheryl Sandberg) 氏は、「被害を受けたと思われる約5,000万のアカウントのアクセストークンを無効にした」と報告している。
さらに、ローゼン氏は「予備的措置として過去1年間に『View As』機能を利用することができた、約4,000万のアカウントのアクセストークンもリセットした」と述べている。
その結果、約9,000万に及ぶユーザーがFacebookのアカウントだけでなく、Facebookへのログインを利用するその他のオンラインサービスに再度ログインしなければならない事態となってしまった。Facebook社傘下のInstagramだけでなくSpotifyやTinderなどの著名なサービスをはじめ、サードパーティのアプリやウェブサイトでは、Facebookのアクセストークンを用いて簡単にログインできるため、盗まれたアクセストークンを用いても不正にアクセスできてしまうのだ。今回、Facebookで実施されたアクセストークンのリセットにはそうした被害を防ぐ目的があると思われる。
「リセットされたアカウントは再度ログインすると、ニュースフィードの上部に表示される投稿で何が起きたのかを確認することができる」と、ローゼン氏は述べている。
この機に見直したいFacebookのセキュリティ設定
現時点でリセットの対象となっていない場合でも、念のためにアカウントから一度ログアウトし、再度ログインしてアクセストークンのリセットをするほうが賢明かもしれない。今回のアクシデントはセキュリティ設定を見直すまたとない機会とも言えるので、ぜひ一度見直してみてほしい。
Facebookの設定を変更するには、ログイン状態で「設定」の次に「セキュリティとログイン」のメニューに進むと、自分がログインした場所が一覧で表示される。その中に身に覚えのない端末やセッションがあれば、セッションを直ちに強制終了することができる。Facebookの「認識できないログインに関するアラート」なども設定可能だ。
さらに、「アプリやウェブサイト」のメニューでは、アクセストークンを用い、Facebook認証でログインしたアプリやウェブサイトを一覧で表示し、Facebookとのリンクを解除することもできる。
さらに慎重を期すのであれば、パスワードの変更も考えてもいいだろう。ただし、Facebookによると、複雑かつ他人にわからないパスワードをすでに設定しているなら、パスワードの変更は不要とのことである。また、二段階認証をまだ使用していないならば、このタイミングでぜひ入れておきたいところだ。
そして、この事件に便乗してフィッシング詐欺が発生する恐れがあることには注意しておきたい。Facebookになりすまし、悪意のあるリンクをクリックさせたり、危険な添付ファイルをダウンロードさせたりするようなスパムメールを送り付けることも十分考えられる。
最後になるが、くれぐれもソーシャルメディアで個人情報をシェアする場合には、細心の注意を払うこと。このことを常に忘れずにいてほしい。
