フェイスブック/WIRED
Facebookアプリやウェブサイトを最後に開いた際に再度ログインを求められた場合は、残念なお知らせです。Facebookにとって2018年の悲惨な状況はさらに悪化しました。同社は、ハッカーがネットワークにアクセスし、5000万件のアカウントに不正アクセスしたことを認めました。
しかし、この事件に関与したとされる人数は、実際にはもっと多い可能性があります。Facebookは金曜日、アカウントのアクセストークンが盗まれたことを受け、Facebookをログインに利用するすべてのアプリとサードパーティサービスから、合計9000万件のアカウントをログアウトしました。つまり、Facebook傘下のInstagramやWhatsAppに加え、Facebook経由でユーザー認証を行うTinderなどのアプリやサービスも影響を受けていることになります。
アクセストークンは、Facebook上の個人、アプリ、またはページを識別するために使用できる一意の数字列です。Facebookアカウントにログインすると、デバイスに対してあなたの身元を確認するためのアクセストークンが作成されます。
攻撃者は5,000万件のアクセストークンにアクセスしましたが、Facebookは予防措置として他の4,000万件のアカウントのトークンもリセットしました。Facebookは、CEOのマーク・ザッカーバーグ氏とCOOのシェリル・サンドバーグ氏の両アカウントが侵害されたことを確認しており、誰もこの攻撃から逃れられなかったようです。
Facebookへの攻撃が特に悪質なのは、アクセストークンが、Facebookにログインしたサードパーティのウェブサイトへのアクセスに利用される可能性があることです。Facebookは2010年に「シングルサインオン」機能を導入し、Tinder、Spotify、Airbnbなどのアプリで広く利用されています。
Facebookによると、データ侵害の兆候は2017年7月に始まったという。そして、同社が動画サービスに軸足を移したことが問題を引き起こした。同社が動画アップロード機能に変更を加えた際に、3つのバグが作り出され、これら全てが悪用され、最終的に脆弱性が生じた。
この脆弱性は、Facebookの「別のユーザーとして表示」機能に存在していました。この機能は、自分のアカウントが他の人にどのように見えるかを確認できるものです。皮肉なことに、「別のユーザーとして表示」機能はもともとプライバシー強化機能として設計されていました。この機能の仕組みは、Facebookの友達(例えば家族)を選択し、その人のプロフィールをその人のプロフィールとして表示できるというものでした。写真やステータスアップデートのプライバシー設定を変更して、家族がそれを見られないようにした場合、「別のユーザーとして表示」機能はそれを確認するための手段として設計されていました。
Facebookの最初のバグでは、動画アップロードツールが誤って「別のユーザーとして表示」ページに表示されるという問題がありました。2つ目のバグでは、アップロードしたユーザーがアクセスコードを生成してしまい、最終的には「別のユーザーとして表示」ページでもハッカーが探していたユーザーのアクセスコードが生成されてしまいました。
Facebookは9月16日に自社ネットワーク内で異常な活動を初めて発見し、9月25日に攻撃を発見しました。その後2日間で法執行機関に通報し、脆弱性を修正しました。現時点では、Facebookは攻撃者がシステムにどれくらいの期間潜伏していたかを把握していません。Facebookが攻撃者の活動を非常に迅速に検知した可能性はありますが、14か月前の2017年に脆弱性が出現して以来、攻撃者がユーザー情報を侵害していた可能性も否定できません。
欧州ユーザーにとって特に重要なのは、Facebookがアイルランド(登録地)のデータ保護コミッショナーに連絡を取り、データ侵害について報告したことです。これは、5月に欧州の一般データ保護規則(GDPR)が施行されて以来、大手テクノロジー企業による初のデータ保護インシデントとなります。GDPRは規制当局に巨額の罰金を科す権限を与えていますが、これはまだ検証されていません。アイルランドデータ保護委員会は声明で、Facebookはまだ多くの詳細を明らかにしていないと述べました。Facebookが火曜日にデータ侵害を発見したにもかかわらず、「現時点ではデータ侵害の性質とユーザーへのリスクを明確に」できていないことを「懸念」しています。
Facebookは、アクセストークンを盗んだ人物は不明だが、現在FBIおよび法執行機関と連携していると述べている。さらに、アカウントが不正使用されたか、あるいは情報にアクセスされたかどうかも不明だ。アクセストークンが盗まれていた場合、ハッカーは侵害されたアカウントを完全に制御できた可能性がある。
Facebookは記者との電話会見で、攻撃者はプロフィールAPIから情報を照会しようとしたが、どの程度成功したかは不明だと述べた。このAPIは、性別、名前、出身地など、プロフィール欄に表示される情報を取得できる。Facebookは、クレジットカード情報は盗まれていないと述べている。
当初、アクセストークンが不正使用されたユーザーに直接通知することはありませんでした。現時点では、自分のアカウントが不正使用されたかどうかを確認する唯一の方法は、不審なログアウト状態になった場合です。Facebookは現在、ユーザーのニュースフィードのトップにメッセージを表示すると発表しました。このメッセージが表示されるまでは、最近ログアウトしていた場合、不正使用された5,000万件のアカウント、または予防措置としてアクセスコードがリセットされた4,000万件のアカウントに含まれていた可能性が高いです。
では、Facebookからログアウトしてしまった場合はどうすればいいでしょうか?Facebook自身は、パスワードは盗まれておらず、リセットする必要はないと説明しています。しかし、複数のアカウントで同じパスワードを使用している場合や、単純なパスワードを使用している場合は、セキュリティ全般を強化する良い機会です。Facebookのパスワードを更新する方法については、こちらをご覧ください。
Facebookは影響を受けた可能性のあるすべてのトークンをリセットしましたが、多くのユーザーはFacebookアカウントを使ってログインしていたサードパーティ製アプリからログアウトされていることに気付くでしょう。Facebookの設定で、アカウント情報へのアクセスを許可したアプリやウェブサイトを確認できます。
Facebookによると、「これらはFacebookを使ってログインした、または最近使用したアプリやウェブサイトです」とのことです。どのアプリがあなたのログイン情報を頻繁に使用しているかを確認したり、忘れていたり、アクセスを許可したくないアプリを削除したりできます。
Facebookの設定で二段階認証もオンにしておきましょう。認証アプリを使って本人確認を行うセキュリティ強化策として、二段階認証を設定することをお勧めします。今週、Facebookがセキュリティ目的で提供された電話番号をターゲティング広告に利用していたことが発覚したためです。
そして、ザッカーバーグの作品に飽きてしまったら、Facebook アカウントを永久に削除する方法をここで紹介します。
2018 年 9 月 29 日 08:48 BST 更新: この記事は、Facebook のハッキングに関する詳細情報を追加するために更新されました。
この記事はWIRED UKで最初に公開されました。
