Facebook、約5000万人分のアクセストークン流出 「特定のユーザーへのプレビュー」機能に脆弱性:約9000万アカウントを強制ログアウト
何者かがFacebookの「特定のユーザーへのプレビュー」機能の脆弱性を突いて、アクセストークンを盗み、ユーザーのアカウントを乗っ取っていたことが分かった。
米Facebookは9月28日、約5000万のアカウントに影響を及ぼすセキュリティ問題が、社内のエンジニアチームによって2018年9月25日に発見され、被害に遭ったアカウントのアクセストークンをリセットする措置を講じたと発表した。
発表によると、自分のプロフィールが他の利用者にどのように表示されているのかを確認するための「特定のユーザーへのプレビュー(View As)」機能に関係するコードに脆弱性があり、何者かがこの脆弱性を突いてFacebookのアクセストークンを盗み、それを使ってユーザーのアカウントを乗っ取っていたことが分かった。
アクセストークンは、毎回パスワードを入力し直さなくても、Facebookへのログイン状態を維持できる認証情報に相当する。
事態の発覚を受け、被害が確認された約5000万アカウントについてはアクセストークンをリセットする措置を取った。さらに、過去1年の間に「特定のユーザーへのプレビュー」の対象となった別の約4000万アカウントについても、安全を期するためにアクセストークンをリセットしたという。ユーザーがパスワードを変更する必要はないとしている。
結果として、約9000万人のユーザーがFacebookにログインし直す必要が生じることになり、ログインし直した後は画面の上部に、今回のセキュリティ問題についての説明が表示される。同社が調査を行っている間、「特定のユーザーへのプレビュー」の機能は一時的に提供を中止する。
今回の脆弱性は、動画のアップロード機能に対して同社が2017年7月に行った変更に起因するという。攻撃者は「特定のユーザーへのプレビュー」に関連した複数の問題を組み合わせて悪用。脆弱性を突いてアクセストークンを入手し、そのアカウントを踏み台にして、他のアカウントのトークンも盗み出していた。
調査はまだ始まったばかりであり、乗っ取られたアカウントが悪用されたり、情報に不正アクセスされたりしたかどうかはまだ分かっていないとFacebookは説明。もし今後、被害に遭ったアカウントがさらに見つかれば、直ちにアクセストークンをリセットするという。
同社は、悪用された脆弱性を修正した上で、捜査当局にも通報しており、詳しい調査を継続中だと説明している。
関連記事
- Facebookの二段階認証、携帯番号の登録が不要に
Facebookが、これまで携帯電話番号が必要だったログインの二段階認証で、「Google Authenticator」などのアプリが利用できるようになったため、携帯電話番号の登録が必須ではなくなった。 - Facebook、「自分の情報がCAに共有されたかどうかの確認方法」ページを開設
Facebookが、ユーザーが自分の個人情報が調査会社Cambridge Analytica(CA)に違法に流用されたかどうか確認できるWebページを公開した。既に削除された診断系アプリ「」にログインしたユーザーとその友達、約8700万人はこのページで「共有された可能性があります」と表示される。 - FacebookとInstagramに使いすぎ防止機能追加へ
Facebookが、FacebookとInstagramのアプリに利用時間を把握し、使いすぎを防止するための機能を追加した。 - 「やっぱり出張先のメシは最高だな……Facebookにアップするか」
セキュリティの基礎をゆるーいクイズでおさらいする週末連載。何かとやらかしがちな会社員「茂礼手(もれて)課長」の“ITやらかし”をクイズ形式で出題していきます。今回はSNSのお話。出張先でのおいしいランチ、つい投稿したくなるところですが……。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.