ユーザーパスワードを平文で保存していた
米フェイスブックは3月、FacebookおよびInstagram用のユーザーパスワードを、平文のままサーバー上に保存していたことを明らかにした。サーバー上のデータには従業員がアクセス可能となっていたが、データ悪用の事例は報告されておらず、これらのパスワードは社外には出ていないとされている。
Facebookに関しては、2018年にセキュリティ上の問題が頻発したことを記憶している人も多いだろう。5月には、Facebook Messengerのマルウェアが利用されたほか、300万人以上のユーザーの個人情報が公開されていることが明らかになった。6月には、およそ1400万人のユーザー設定が「公開」になっていた可能性があることが報道された。9月には、セキュリティ上に欠陥があり、ユーザーのアクセストークンが不正に入手される可能性があったと発表している。
最近では、オンラインでアクセス可能なAmazonのクラウドサーバー上に、5億4000万件以上のユーザーデータが公開状態になっていることを発見されている(Millions of Facebook Records Found on Amazon Cloud Servers - Bloomberg)。残念ながら、2019年もFacebookのセキュリティ問題が取り沙汰されているのは事実だ。
このような事件が発生したときに、ユーザーとしては自身の個人情報が漏れていないかと不安になってしまうもの。かといって、SNSをいっさい使わないようにするのもむずかしいだろう。では、何をすればよいのだろうか。
パスワードの強化は基本
設定をマメにチェックしてみるのもよい
個人情報の流出は、企業や、内部で働いている人のミスで生じてしまうことが多い。ユーザーとしては、万が一の場合に被害を最小限に食い止められるようにしておくことが肝心だ。個人情報の流出をゼロにすることはユーザー側ではむずかしいかもしれないが、何かがあったときに、不正アクセスを防ぎやすくすることは不可能ではない。
まず考えることは、パスワードを複雑化すること、パスワードの使い回しを避けることだろう。めんどうだというのであれば、パスワード管理ソフトを利用するのもよい。自動生成で複雑なパスワードを作成するので、セキュリティ的にも強固になる。クラウド経由でデータを共有できるソフトなら、パソコンからでもスマホからでもパスワードが同期されてすぐに使えるのもメリット。
あわせて利用したいのが2段階認証だ。ログインの際に、パスワードだけでなく電話番号(SMS)などによる本人確認などが必要となるもの。携帯電話へSMSで1回限りの有効なパスワードや数字が送られてくる携帯電話認証のもの、アプリやデバイスなどで表示されるパスワードを入力するワンタイムパスワード認証などがある。
2段階認証の場合、パスワードが知られてしまったとしても、もう一段階の認証なしではログインできなくなるため、より強固なセキュリティとなる。Facebookだけでなく、Google、Apple IDTwitter、など、2段階認証対応のサービスは多いので、あわせて設定するのもよいだろう。
また、SNSを利用する際は、正しい設定が維持されているかどうか、マメにチェックしてみるるのも有効だ。たとえば、Facebookなら、投稿の公開範囲の設定を確認してみてほしい。投稿を誰にでも見られるようにしておかない、友人しか見られないように設定を変えておく、変わっていないかどうかときどき見る……ということに注意しておけば、異変が起きたときに気づきやすいはずだ。
今回の事件をきっかけに、自身のSNSアカウントのセキュリティについて見直すのもよいだろう。McAfee Blogの記事「Facebookユーザーへ 自身の情報を安全に保つための予防策」を紹介しよう。(せきゅラボ)
※以下はMcAfee Blogからの転載となります。
Facebookユーザーへ 自身の情報を安全に保つための予防策:McAfee Blog
ソーシャルメディアは、長年にわたって非常に人気であり、友人や家族と簡単にコミュニケーションをとることが出来るツールとして定着しています。ソーシャルメディアのユーザーとして、私たちは個人情報のセキュリティーを維持するためにこれらのプラットフォームがきちんと管理しているだろうと多くの信頼を寄せています。しかし、私たちの個人情報が誤って扱われていたとしたらどうでしょう? 実際に、今回を含めこれまで起きたセキュリティーに関する事件の発生を見ていると、ユーザーは自ら予防する必要があると言わざるを得ないでしょう。
数億人分のユーザーパスワードが平文で保存状態に
3月21日、Facebookは、何億ものユーザー、主にFacebook Lite*関連するユーザーのパスワードが適切に管理されていなかったことを発表しました。
※Facebookが公式に提供しているAndroid用の軽量版Facebookアプリ。
あなたは今回の件がどのように起こったのか疑問に思うかもしれません。Facebook、Facebook Lite、およびInstagram用の多くのユーザーパスワードが、社内データベースにプレーンテキストで格納されていたようです。これは、何千ものFacebookの従業員がデータベースにアクセスでき、これらのユーザーパスワードを介して検索する可能性があることを意味します。幸い、この調査でデータの悪用の事例は報告されておらず、これらのパスワードは社外には出ていないとのこと。Krebs on Securityが詳細を報じていますが、FacebookのソフトウェアエンジニアScott Renfro氏によると、Facebookはこれらのセキュリティー問題が今後発生するのを防ぐために、長期的なインフラの変更を調査・検討しています。
自分のデータを護るために予防を
Facebookのエンジニアリング、セキュリティー、およびプライバシー担当副社長によると、同社はパスワードロギングのバグを修正し、パスワードが公開されている可能性があるユーザーに通知する予定です。しかし、このような事件が発生したときに困らないよう、ユーザーが自分のデータをより安全に保護するために出来ることがあります。次のような予防策をお勧めします。
1.パスワードを変更
通知を受けた本人であれば必須ですが、そうでない方も念のため、プラットフォームのセキュリティーとプライバシーの設定にアクセスして、FacebookとInstagramのパスワードを更新してください。同じパスワードの使いまわしは避けて、パスワードが一意で複雑であるよう、この機会に確認してください。
2.多要素認証を使用
これが万全なセキュリティーソリューションではありませんが、データが漏洩した場合にあなたの認証情報を保護するのに役立ちます。
3.パスワードマネージャを設定
パスワードマネージャを使用すると、パスワードを追跡して管理する最も簡単な方法の1つになるので、このような事件が発覚した後にパスワードを簡単に変更できます。
また、最新のコンシューマおよびモバイルセキュリティーの脅威を常に把握し、このような情報を収集するために、Twitterやニュースのサイバーセキュリティーに関する情報を日常的に気にするようにしましょう。
※本ページの内容は、2019年3月22日(US時間)更新の以下のMcAfee Blogの内容です。
原文:Facebook Users: Here are Proactive Tips to Keep Your Data Safe
著者:Gary Davis
※本記事はアスキーとマカフィーのコラボレーションサイト「せきゅラボ」への掲載用に過去のMcAfee Blogの人気エントリーを編集して紹介する記事です。
■関連サイト