Facebookがアカウント侵害の新たな詳細を公開、ログイントークン盗難の対象を3000万人に縮小
フランク・カタラーノ著
Facebookは、ハッカーが数千万人のFacebookアカウントにアクセスした攻撃に関する新たな詳細を公開した。同時に、影響を受けたユーザー数を約5,000万人から約3,000万人に下方修正した。
同社は金曜日のブログ投稿で、攻撃者が数百万件のアカウントのアクセストークン(Facebookにログインした状態を維持し、パスワードの再入力を不要にするデジタルキー)を盗んだことを明らかにした。これは、以前に公表された「View As(別のユーザーとして表示)」のバグを悪用し、友達リストから友達リストへ自動的に移動する手法を用いて行われた。「View As(別のユーザーとして表示)」とは、Facebookユーザーが自分のプロフィールを他の人と同じように閲覧できる機能である。
同社によれば、9月14日に初めて異常なアクティビティの急増に気付き、9月25日にそれが攻撃であると判断し、2日以内に脆弱性を修正したという。
影響を受けた約3,000万人のうち、攻撃者によってアクセスされた可能性のある機密情報は全員同じではありませんでした。Facebookの製品管理担当副社長であるガイ・ローズ氏によると、1,500万人の氏名と連絡先(電話番号、メールアドレス、またはその両方)が漏洩しました。さらに1,400万人については、ユーザー名、性別、交際状況、宗教、出身地、生年月日、学歴、職業など、追加情報がアクセスされました。残りの100万人については、いかなる情報もアクセスされなかったとFacebookは述べています。
「ヘルプセンターにアクセスして、ご自身が影響を受けたかどうかを確認できます」とローズ氏は述べた。「今後数日中に、影響を受けた3,000万人の方々に、攻撃者がアクセスした可能性のある情報や、不審なメール、テキストメッセージ、電話などから身を守るための対策について、カスタマイズされたメッセージを送信する予定です。」
Facebook社は、Messenger、Messenger Kids、Instagram、WhatsAppなど他のサービスやアプリは攻撃の影響を受けなかったと述べた。
攻撃が初めて公表されたのは9月28日でした。当時、Facebookは約9000万アカウントのアクセストークンをリセットしたと発表しており、その多くは「予防措置」として行われたものでした。このリセットには、直接影響を受けたと疑われる5000万アカウントに加え、前年に「View As(別のアカウントで表示)」検索の対象となった4000万アカウントが含まれていました。また、「View As(別のアカウントで表示)」機能も無効化されていました。
「今回の攻撃の背後にいる人物がFacebookをどのように利用したか、またより小規模な攻撃の可能性についても調査を進めており、FBI、米国連邦取引委員会、アイルランドデータ保護委員会、その他の当局と引き続き協力していきます」とローズ氏は述べた。同社は、FBIから攻撃の背後にいる人物についてコメントしないよう要請されていると述べている。
