米Facebookは9月28日、セキュリティの脆弱性を突かれてユーザーのアクセストークンが不正に入手され、約5000万人のアカウントに影響があったと発表した。アカウントの不正使用やユーザー情報への不正アクセスがあったかは分かっていないが、攻撃者はアカウントを乗っ取ることも可能だったという。同社は「極めて重大なことと認識している」とし、謝罪している。
アクセストークンとは、Facebookにパスワードを毎回入力しなくてもログインするためのユーザーの認証情報。攻撃者に脆弱性を突かれ、アクセストークン情報が不正入手された。
脆弱性は、特定の人に対してユーザーのプロフィールがどのように表示されているかを確認する「View As」(特定のユーザーへのプレビュー)機能に関するもので、2017年7月から存在していたという。
Facebookは脆弱性を修復し、捜査当局に報告したほか、「View As」の機能を止めた。影響があったと思われる約5000万のアカウントのアクセストークンをリセット。加えて、予備的措置として約4000万のアカウントもリセットしたため、合計約9000万人ユーザーが、Facebookや連携アプリを利用する場合に再度ログインする必要があるとしている。
また、対象ユーザーのニュースフィード上部に、今回の問題を知らせる画面を表示。ユーザーのパスワード変更などは不要という。
Facebookをめぐっては今年、英コンサルティング会社によって約8700万人のユーザーの個人情報が不正に取得されていたことが分かり、大きな問題になっていた。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR