2018年、Facebookではプライバシー関連の問題が多発した。3月には、イギリスのデータ分析会社、ケンブリッジ・アナリティカがユーザー情報5000万人分(8700万人という報道もある)を取得したという事件が明らかになった。また6月には、プライバシー設定のテスト中のバグにより、1400万人のユーザーの投稿設定がすべて「一般公開」になっていた可能性があることが報道された。
そして9月、米フェイスブックは、セキュリティ上に欠陥があり、ユーザーのアクセストークンが不正に入手される可能性があったと発表した。アクセストークンとは、ユーザーがログインした状態を保ち、パスワードを入力しなくてもログインできるようになる認証情報だ。
セキュリティのどこに欠陥があったのか。ユーザーのプロフィールがどのように表示されているかを確認する「View As」機能に問題があった。友達からどう見えるか、共通の友達からどう見えるかなど、自身との関係ごとに自分のプロフィールの見え方を確認できる機能。ここに脆弱性があったという。
今回発覚した問題には、およそ5000万ユーザーアカウントに影響の可能性があったことが判明している。米フェイスブックはこの脆弱性を修復したほか、「View As」機能を停止したとのこと。影響を受けたアカウントから個人情報が収集され、悪用されたかどうかは、まだ明らかになっていない。
この問題を受けて、ユーザーはどのような対策をしたらよいか? 対象のアカウントの場合、トークンをリセットされたことによりログアウトされているため、まずログインを求められるようになっている。ログインしたら、なるべく長い文字列でパスワードの変更をしよう。また、Facebookに限ったことではないが、アプリには各バージョンに修正が含まれているため、アップデートが利用可能になったら早めに更新することを習慣づけておきたい。
SNSを当たり前に利用する現在においては、個人情報の管理に特に気をつける必要があるだろう。今回の事件で何が起きたかを知っておくことで、似たような事件が発生したときの安心にもつながるはず。そこで、今回はMcAfee Blogから「Facebook 新たに発見されたセキュリティ上の欠陥を発表」を紹介しよう。(せきゅラボ)
※以下はMcAfee Blogからの転載となります。
Facebook 新たに発見されたセキュリティ上の欠陥を発表:McAfee Blog
また新たなFacebookのセキュリティ上の欠陥に関する発表がありました。今年(2018年)の5月には、FacexWormというFacebook Messengerのマルウェアが、ユーザーパスワードの窃取と仮想通貨をマイニングするためにサイバー犯罪者により利用されました。同月後半、myPersonalityと呼ばれるプラットフォーム上のアプリによって3百万ユーザーの個人情報が公開されました。また、6月には、1400万人の設定が知らないうちに「公開」になっていた可能性があることが報道されました。そしてまた別の欠陥が判明し、ちょうど今朝(9/28 US時間)Facebookは、別のセキュリティ侵害、「View As(特定のユーザーへのプレビュー)」機能が関係する別の情報流出が起きている可能性について明らかにしました。
Facebookには、友達からどう見えるか、共通の友達からどう見えるか、など自身との関係ごとに自分のプロフィールの見え方を確認できる機能があります。この機能にセキュリティ上の欠陥があり、サイバー犯罪者がこの脆弱性を悪用し、Facebookユーザーのアクセストークンを窃取、およそ5000万ユーザーアカウントに影響の可能性があることが判明しました。アクセストークンは、ユーザーがログインした状態を保つデジタルキーで、毎回パスワードを入力してログインすることなくアカウントにアクセスできるようにするものです。この欠陥によりアクセストークンがサイバー犯罪者に渡ってしまうと、該当するFacebookユーザーのアカウントにアクセスできてしまうことを意味します。
Facebookは、影響を受けたアカウントから個人情報が収集されたか悪用されたかどうかはまだ明らかになっていない、としていますが、被害にあったおよそ5000万件のアカウントに加え、過去一年間にこの機能を使用して自身のプロフィールを確認した4000万件のアカウントに対しても、トークンをリセットしたと報じられています。およそ9000万のFacebookユーザーが再度ログインを求められる、ということになります。
今のところ、Facebookはまだこの問題について調査中であり、詳細については公表されていません。もしあなたが再ログインを求められ、影響を受けたFacebookのユーザーの可能性があるようであれば、以下を参考に変更・更新を行なってください。また影響を受けていないとしても、他のアプリやサービスと同じパスワードやメールを利用している場合はこの機会に変更するなど、より注意を払うことをおすすめします。
アカウントのログイン情報を変更
対象のアカウントの場合、トークンをリセットされたことにより、ログアウトされていますので、まずログインを求められます。ログインしたら、パスワードの変更をしましょう。次のパスワードは強く複雑にするようにしてください。そうすることによりサイバー犯罪者がクラックするのは難しくなります。二要素認証を有効にすることも良い考えです。
更新、更新、更新
Facebookに限らず、通常は各バージョンに修正が含まれているため、アップデートが利用可能になったらなるべく早めにアプリを更新することが大変重要です。このようなことがあると、重要性がわかると思います。Facebookはすでにこの脆弱性に対する修正を発表していますので、すぐに更新してください。
なお、現在は、この機能は一時的に使用できないようにしたとFacebookからも発表されています。
※本ページの内容は、2018年9月28日(US時間)更新の以下のMcAfee Blogの内容です。一部のリンク先や表記は日本語表記、日本のサイトに変更しています。
原文:Facebook Announces Security Flaw Found in “View As” Feature
著者:Gary Davis
※本記事はアスキーとマカフィーのコラボレーションサイト「せきゅラボ」への掲載用に過去のMcAfee Blogの人気エントリーを編集して紹介する記事です。
■関連サイト
