WIRED / iStock / マクシム・ルドイ
Facebook史上最大のデータ侵害は、ユーザーアカウントが危険にさらされただけでなく、他のウェブサイトやアプリにも被害が及んだ可能性があった。原因は?Facebookアカウントを使って他社のアカウントにログインしていたことだった。
9月28日、マーク・ザッカーバーグCEOとFacebookのプロダクト担当副社長ガイ・ローゼン氏は、ハッカーがFacebookに侵入し、約5,000万個のアクセストークンにアクセスしたことを明らかにした。これらのトークンは、ユーザーがFacebookにログインすると自動的に生成され、ウェブサイトに再度アクセスするたびに再ログインする手間を省く。
アクセストークンは他のウェブサイトでも機能し、Facebookはハッキング後に合計9000万個のアクセストークンをリセットしました。「脆弱性はFacebookにありました。しかし、これらのアクセストークンによって、誰かがアカウント所有者であるかのようにアカウントを使用することができました」とローゼン氏は記者との電話会議で述べました。「これは、Facebookログインを使用している他のサードパーティ製アプリにもアクセスできた可能性があることを意味します。」
つまり、トークンを盗んだ者は、理論的にはFacebookアカウントをログイン情報として利用するウェブサイトでトークンを利用できた可能性があるということです。Spotify、Airbnb、Tinderは、Facebookのソーシャルログインを利用する3大サービスです。Uber、Just Eat、Skyscannerなど、その他数百のウェブサイトも、アカウント作成手段としてFacebookのシステムを利用しています。
シングルサインオンシステム(SSO)は実用的です。ウェブサイトのアカウントを素早く作成でき、ユーザーが複数のログイン情報を覚える必要性が低くなります。「企業環境におけるシングルサインオンは、膨大な時間と手間を省きます」とフィールディング氏は言います。「しかし、個人はそうした機能にお金を払いたくありません。」
しかし、SSOシステムには潜在的な問題が数多く存在します。6月に発表された研究論文の中で、イリノイ大学シカゴ校の5人の研究者は、SSO技術は「甚大なセキュリティリスクをもたらす可能性がある」と述べています。研究者たちはFacebookに対して概念実証攻撃を行い、アカウントを完全に乗っ取ることができました。「乗っ取ったFacebookアカウントを利用することで、攻撃者は間接的に226の(他のサービス)に侵入する可能性がある」と研究者たちは記しています。
「現在実装されている SSO では、ユーザーを数多くの危険でステルス性の高い攻撃にさらしており、その一部は元のプロバイダーに接続されていないサービスにまで及ぶことを私たちは示しました」と論文は結論付け、アカウントと SSO システムが攻撃者によって侵害された場合、個々の被害者ができることはほとんどないと付け加えています。
SSOは、収集されログインサービスプロバイダーに返されるデータ量に関するプライバシー上の懸念も生み出しています。4月、出会い系アプリBumbleはFacebookとのデータの共有を停止するため、Facebookのソーシャルログインから移行しました。当初FacebookのSSOを使用することを決定したBumbleは、友達リスト、交際ステータス、位置情報、いいね!情報にアクセスできるようになりました。その見返りとして、FacebookはBumbleユーザーの行動に関する情報を入手しました。別の出会い系アプリHingeも6月にFacebookログインから移行しました。
「ユーザーがサインインするサイトは、ソーシャルログインプロバイダーから多くのプロフィール情報を取得することができます」と、Protectureのセキュリティ専門家でデータ保護のシニアリーダーであるロウェナ・フィールディング氏は言う。
「エンドユーザーは、自分に関するどのような情報が送受信されているかを常に把握できるわけではなく、これは一般にプライバシー、自由、自律性にとって悪いことだ。」
Facebookは、調査はまだ初期段階であり、盗まれたアクセストークンが他のウェブサイトで使用されたかどうかは特定できていないと述べている。しかし、現時点ではアカウントへのアクセスを示唆する公開証拠はない。Spotifyはデータ侵害は発生していないと述べ、Just Eatは不審な活動は確認されていないとしている。TinderはCNNに対し、アカウントが侵害された証拠は見つかっていないものの、Facebookからは「限定的な」情報しか得られていないと述べた。(AirbnbとUberはコメント要請に回答していない。)
ソーシャルメディアのアカウントを使って他のオンラインサービスにログインしたり、アカウントを作成したりするという考えは、新しいものではありません。「IDを集中管理するというコンセプトは、間違いなく活用できるでしょう」とフィールディング氏は言います。「非常に便利な機能です。」
ここでソーシャルメディア企業の出番です。ほぼすべての大手テクノロジー企業が、ウェブ全体で利用できるSSOシステムを構築しています。Facebookは2010年にGrouponとYelpでシングルサインオンシステムを導入しました。GoogleとTwitterも独自のSSOを導入しており、今年6月にはSnapchatもこれに追随しました。
企業がシングルサインオンシステムを構築する際に使用する標準規格があります。Amazon、Google、Facebookが使用するOAuthプロトコルは、開発者が第三者にパスワードを提供することなくAPIを利用できる方法を規定しています。OAuthは基本的に、他のウェブサイトに機能を提供するための認証を提供するシステムです。(個人認証にはOpenIDなどの他の標準規格も存在します。)
「運用面では、SSO認証プロバイダはサイバーセキュリティに多大なリソースを投入しています」と、サイバーセキュリティとプライバシーの独立研究者であるルカス・オレニク氏は述べています。SSOシステム自体は安全であり、ユーザーのパスワードを保護しています。2012年にはサードパーティ製のTwitterアプリがハッキングされましたが、パスワードは盗まれませんでした。これは、独自のログインシステムやセキュリティシステムを開発する時間やリソースがない小規模なウェブサイトやアプリにとってメリットとなる可能性があります。
しかし、Facebookの場合と同様に、ユーザーにSSOを提供している企業がセキュリティ侵害を受けると、事態は悪化する可能性があります。「シングルサインオンは単一障害点です」とオレニク氏は言います。「実際には、重大な障害が発生するリスクは非常に低いですが、その影響は甚大になる可能性があります。」
この記事はWIRED UKで最初に公開されました。
