身近で起こっているインターネットの脅威について その15
Facebookの情報流出、被害は3,000万人…半数はプロフィールの詳細情報に不正アクセス
1.このニュースをザックリ言うと
- 9月29日(日本時間)、Facebookより、同サイトの脆弱性を突かれ、ユーザ約5,000万人分の「アクセストークン」が奪取された可能性があると発表されました。
- 脆弱性は2017年7月から存在しており、アクセストークンの奪取により、そのユーザにパスワードなしでログインすることが可能な状態となっていたとのことで、脆弱性の修正とともに、最大9,000万人のユーザについてアクセストークンがリセットされています。
- 10月12日(同)に発表された続報によれば、実際に被害にあったユーザは約3,000万人で、その約半数の1,400万人について、居住地・生年月日・検索内容などを含む詳細なプロフィール情報に不正アクセスされていたとのことです。
- Facebookでは各ユーザが被害を受けたかどうか確認する為のページを用意(10月19日現在日本語化済み)し、また実際に被害を受けた約3,000万人に対し連絡するとしています。
2.執筆者からの所感等
- 脆弱性は「特定のユーザへのプレビュー」機能に存在しており、アクセストークンのリセット対象となったのは、この機能を利用したことがあるユーザとみられます。
- 「パスワードなしでログイン可能」というアクセストークンの仕様から、逆にアカウントのパスワードについては奪取できず、流出もなかった模様とのことで、このことから、今回についてはパスワードの変更は行わなくてもよいとする意見もあります。
- Facebookは実名での登録が基本とされるSNSであることから、センシティブな情報を登録していたユーザが多かったとみられ、そこが特に攻撃者の狙い目とされたと考えられ、個人情報の流出を懸念するのであれば、ごく親しい友人にも開示したくない情報は必要最低限しか登録しないよう、どのSNSであっても徹底するよう心掛けるべきでしょう。