フェイスブックジャパンは10月2日、不正アクセスでFacebookから約5000万人分のアクセストークンが流出した件について改めて謝罪した。同社の長谷川晋社長は「調査は初期段階で、国ごとにどれほどの被害があったか、誰がどんな目的でアクセストークンを不正入手したのかは判明していない」と話した。
同社の説明によると、米Facebookは9月25日にセキュリティの脆弱性を発見。自分のプロフィールが他のユーザーからどう見えるかを確認するプライバシー機能「View As」に関するもので、この脆弱性を利用して、ユーザーが一度ログインした後にログイン状態を保持するための「アクセストークン」が不正入手されたという。
すでに脆弱性は修復済みで、View Asの機能も停止している。影響があったと思われる約5000万アカウントと、予備的措置として約4000万アカウントを含めた計9000万アカウントのアクセストークンもリセットした。(関連記事)
「最も大きな要因はView Asの脆弱性だと分かっているが、原因はもっと複雑だ。複数の要因が絡み合った時の脆弱性を突かれてアクセストークンを入手されてしまったというのが現時点で把握している内容となる」(長谷川社長)。日本ユーザーの被害状況はまだ分かっていないという。
Facebookでは、Facebookアカウントで複数のWebサービスなどにログインできる「シングルサインオン」機能を提供している。アクセストークンの流出によって「他サービスから情報を引き出せた可能性はある」(同社)という。現時点で大規模な不正アクセスなどは見つかっていないが、こちらについても調査中としている。
「日本への影響なども含めて、状況が判明し次第、Facebookニュースルームで報告する。ユーザーに安心、安全に利用してもらうこと、ユーザーのデータを守ることが最優先。引き続き会社として全力で取り組んでいく」(長谷川社長)
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR