Facebook 新たに発見されたセキュリティ上の欠陥を発表

また新たなFacebookのセキュリティ上の欠陥に関する発表がありました。今年(2018年)の5月には、FacexWormというFacebook Messengerのマルウェアが、ユーザーパスワードの窃取と仮想通貨をマイニングするためにサイバー犯罪者により利用されました。同月後半、myPersonalityと呼ばれるプラットフォーム上のアプリによって3百万ユーザーの個人情報が公開されました。また、6月には、1400万人の設定が知らないうちに「公開」になっていた可能性があることが報道されました。そしてまた別の欠陥が判明し、ちょうど今朝(9/28 US時間)Facebookは、別のセキュリティ侵害、「View As(特定のユーザーへのプレビュー)」機能が関係する別の情報流出が起きている可能性について明らかにしました。

Facebookには、友達からどう見えるか、共通の友達からどう見えるか、など自身との関係ごとに自分のプロフィールの見え方を確認できる機能があります。この機能にセキュリティ上の欠陥があり、サイバー犯罪者がこの脆弱性を悪用し、Facebookユーザーのアクセストークンを窃取、約5000万ユーザーアカウントに影響の可能性があることが判明しました。アクセストークンは、ユーザーがログインした状態を保つデジタルキーで、毎回パスワードを入力してログインすることなくアカウントにアクセスできるようにするものです。この欠陥によりアクセストークンがサイバー犯罪者に渡ってしまうと、該当するFacebookユーザーのアカウントにアクセスできてしまうことを意味します。

Facebook は、影響を受けたアカウントから個人情報が収集されたか悪用されたかどうかはまだ明らかになっていない、としていますが、被害にあった約5000万件のアカウントに加え、過去一年間にこの機能を使用して自身のプロフィールを確認した4000万件のアカウントに対しても、トークンをリセットしたと報じられています。約9000万のFacebookユーザーが再度ログインを求められる、ということになります。

今のところ、Facebookはまだこの問題について調査中であり、詳細については公表されていません。もしあなたが再ログインを求められ、影響を受けたFacebookのユーザーの可能性があるようであれば、以下を参考に変更・更新を行ってください。また影響を受けていないとしても、他のアプリやサービスと同じパスワードやメールを利用している場合はこの機会に変更するなど、より注意を払うことをおすすめします。

アカウントのログイン情報を変更

対象のアカウントの場合、トークンをリセットされたことにより、ログアウトされていますので、まずログインを求められます。ログインしたら、パスワードの変更をしましょう。次のパスワードは強く複雑にするようにしてください。そうすることによりサイバー犯罪者がクラックするのは難しくなります。二要素認証を有効にすることも良い考えです。

更新、更新、更新

Facebookに限らず、通常は各バージョンに修正が含まれているため、アップデートが利用可能になったらなるべく早めにアプリを更新することが大変重要です。このようなことがあると、重要性がわかると思います。Facebookはすでにこの脆弱性に対する修正を発表していますので、すぐに更新してください。

なお、現在は、この機能は一時的に使用できないようにしたとFacebookからも発表されています。

※本ページの内容は、2018年9月28日(US時間)更新の以下のMcAfee Blogの内容です。一部のリンク先や表記は日本語表記、日本のサイトに変更しています。
原文:Facebook Announces Security Flaw Found in “View As” Feature
著者:Gary Davis