ITmedia NEWS > セキュリティ >
セキュリティ・ホットトピックス

Facebook、アカウント乗っ取りの脆弱性を修正

» 2013年06月28日 07時59分 公開
[鈴木聖子,ITmedia]

 米Facebookに携帯電話のSMSを利用したアカウント乗っ取りの脆弱性が存在していたことが分かった。英国のセキュリティ研究者が6月26日のブログで報告した。脆弱性はこの研究者の報告を受けて既に修正されている。

 セキュリティ研究者「fin1te」のブログによると、この脆弱性は、携帯電話番号を自分のFacebookアカウントと関連付けられるオプションに存在していた。ユーザーが何も操作しなくても、アカウントを乗っ取られる恐れがあったという。

 同オプションでは、SMSで更新情報を受信したり、携帯電話番号でFacebookにログインしたりすることが可能だが、研究者はこのモバイル認証の仕組みに使われていた「profile_id」というパラメータを操作して、Facebookの設定ページ経由で任意のアカウントのprofile_idを参照し、他人のアカウントのパスワードを変更できる方法を発見した。

 5月23日にこの問題の報告を受けたFacebookは、同月28日に問題を修正。研究者は2万ドルの賞金を受け取ったという。

 FacebookはKaspersky Labのニュースサービス「threatpost」に寄せたコメントで、「研究者の協力を得てこの問題について調査し、迅速に修正した。この問題が悪用された形跡はない」と説明している。

関連キーワード

Facebook | 脆弱性 | 携帯電話


Copyright © ITmedia, Inc. All Rights Reserved.