ニュース
» 2018年09月30日 07時00分 公開

約9000万アカウントを強制ログアウト:Facebook、約5000万人分のアクセストークン流出 「特定のユーザーへのプレビュー」機能に脆弱性

何者かがFacebookの「特定のユーザーへのプレビュー」機能の脆弱性を突いて、アクセストークンを盗み、ユーザーのアカウントを乗っ取っていたことが分かった。

[鈴木聖子,ITmedia]

 米Facebookは9月28日、約5000万のアカウントに影響を及ぼすセキュリティ問題が、社内のエンジニアチームによって2018年9月25日に発見され、被害に遭ったアカウントのアクセストークンをリセットする措置を講じたと発表した。

 発表によると、自分のプロフィールが他の利用者にどのように表示されているのかを確認するための「特定のユーザーへのプレビュー(View As)」機能に関係するコードに脆弱性があり、何者かがこの脆弱性を突いてFacebookのアクセストークンを盗み、それを使ってユーザーのアカウントを乗っ取っていたことが分かった。

 アクセストークンは、毎回パスワードを入力し直さなくても、Facebookへのログイン状態を維持できる認証情報に相当する。

 事態の発覚を受け、被害が確認された約5000万アカウントについてはアクセストークンをリセットする措置を取った。さらに、過去1年の間に「特定のユーザーへのプレビュー」の対象となった別の約4000万アカウントについても、安全を期するためにアクセストークンをリセットしたという。ユーザーがパスワードを変更する必要はないとしている。

 結果として、約9000万人のユーザーがFacebookにログインし直す必要が生じることになり、ログインし直した後は画面の上部に、今回のセキュリティ問題についての説明が表示される。同社が調査を行っている間、「特定のユーザーへのプレビュー」の機能は一時的に提供を中止する。

photo アクセストークンをリセットしたアカウントについては、ログイン後、画面上部に今回のセキュリティ問題についての説明が表示されるという(出典:Facebook)

 今回の脆弱性は、動画のアップロード機能に対して同社が2017年7月に行った変更に起因するという。攻撃者は「特定のユーザーへのプレビュー」に関連した複数の問題を組み合わせて悪用。脆弱性を突いてアクセストークンを入手し、そのアカウントを踏み台にして、他のアカウントのトークンも盗み出していた。

 調査はまだ始まったばかりであり、乗っ取られたアカウントが悪用されたり、情報に不正アクセスされたりしたかどうかはまだ分かっていないとFacebookは説明。もし今後、被害に遭ったアカウントがさらに見つかれば、直ちにアクセストークンをリセットするという。

 同社は、悪用された脆弱性を修正した上で、捜査当局にも通報しており、詳しい調査を継続中だと説明している。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ

マーケット解説

- PR -