• 事件・脆弱性情報
  • 2018.10.15

Facebook 3000万アカウント流出と発表

9月28日、アメリカのFacebook社は、SNSアプリ「Facebook」にてセキュリティの脆弱性によって、ユーザーのアクセストークンが不正に入手されていたことを発表しました。また10月13日には該当のインシデントの続報が報告されています。
影響範囲は当初約5000万アカウントに上るとされていましたが、同社の視方では約3000万アカウントが窃盗されていたと判断しています。

今回の被害概要

アクセストークンとは、毎回のパスワード入力の手間を省くため、アプリ側のメモリに保持させるユーザーの認証情報です。今回はこの認証情報を脆弱性によって不正入手され、攻撃が実施できる状況になっていました。

その対象となった脆弱性は、自身のプロフィールが他のユーザーへどのように表示されているかを確認するプレビュー機能の「View As」が関連するものとなっており、2017年より存在が複数確認されていました。

Facebook社はすでに脆弱性を修正し、アクセストークンをリセットの上、対象ユーザーのニュースフィードの上部へ今回のインシデントを告げるメッセージが表示されています。尚、ユーザー側でのパスワード変更などは不要と通知されています。

新たに明らかになった攻撃手法

当初の発表では、今回の不正アクセス及び情報入手されていた可能性があるとし、被害状況の全貌は調査中となっていましたが、今回の発表にて攻撃実施の経緯が公表されました。

まず、クラッカーはいくつかのアカウントを使用し、自動的にアカウントからアカウントへ移動しそれぞれのアクセストークンを盗むシステムを稼働させており、繰り返し行った結果、影響範囲は約40万アカウントに上りその過程でプロフィール情報から更に外部に公表されることがないMassengerでのメッセージの内容までも取得されたと考えられています。
その40万アカウントのあらゆる情報を元に、最終的に約3,000万アカウントのアクセストークンを取得するという、段階的な攻撃が実施されていました。

今後の対応について

脆弱性については、最新バージョンにて修正されているようですのでアップデートを行うことと、不要と判断されているパスワードの変更についても被害の最小化のため、より複雑な文字列に変更しておくべきだと考えます。
今後数日間のうちに、影響を受けた3000万アカウント宛にはそれぞれの状況に合わせてメッセージが送られる予定となっているようですので、同社の対応にも注目しましょう。

 

参考サイト:
https://ja.newsroom.fb.com/news/2018/10/update-on-security-issue/

※本記事は掲載時点の情報であり、最新の情報とは異なる場合があります。予めご了承ください。