約1400万人については、居住地や生年月日、検索内容などを含む詳細なプロフィール情報に不正アクセスされていたことも判明した。
米Facebookは10月12日、アカウントへのログインに使用するアクセストークンが何者かに盗まれた事件について、被害に遭ったユーザーの数は、当初の発表よりも少ない約3000万人だったと発表した。そのうち約半数については、居住地や生年月日、検索内容などを含む詳細なプロフィール情報が不正アクセスされていたことも判明した。
今回の事件では、Facebookのコードに2017年7月から2018年8月の間に存在していた脆弱性が悪用され、アクセストークンが盗まれた。アクセストークンは、毎回パスワードを入力し直さなくてもFacebookへのログイン状態を維持できる仕組みに使われており、これを盗めば他人のアカウントを乗っ取ることもできる。当初の発表では、約5000万人のアクセストークンが盗まれた可能性があるとしていた。
Facebookによると、攻撃者は既にコントロールを握っていた複数のアカウントを使い、友達関係でつながる計約40万人のアカウントをたどって、およそ3000万人のアクセストークンを盗み出していた。
このうち約1500万人については、氏名と連絡先情報(プロフィールに登録された電話番号や電子メール)が不正アクセスされ、約1400万人については氏名と連絡先情報に加えて、他のプロフィール情報(性別、言語、家族と交際ステータス、宗教、出身地、居住地、生年月日、Facebookへのアクセスに使うデバイスの種類、学歴、勤務先、最近訪れた場所、フォローしている相手、直近15回の検索内容など)にも不正アクセスされていたことが分かった。残る100万人については、いずれの情報にもアクセスされなかったとしている。
自分のアカウントが被害に遭ったかどうかは、同社のヘルプページで確認できる(10月15日現在、日本語には未対応)。
被害が確認された3000万人については、向こう数日のうちにFacebookからメッセージを送り、どの情報が不正アクセスされたかについて説明する予定だとしている。
なお、今回の攻撃の対象にはMessengerやInstagram、サードパーティーアプリなどは含まれていないという。ただ、小規模な攻撃の可能性も排除できないとして、引き続き調査を続けている。
今回の事件では、2018年9月14日から異常なアクティビティの急増が確認され、Facebookで調査した結果、同月25日になって、脆弱性を突く攻撃が仕掛けられていたことが分かった。
米連邦捜査局(FBI)も捜査に乗り出しているが、FBIからは、攻撃の背後関係については口外しないよう指示されているという。
Copyright © ITmedia, Inc. All Rights Reserved.