Facebook、アクセストークン流出問題で「サードパーティーアプリへのアクセスの証拠なし」
Facebookが、約5000万人のアクセストークンが流出した件で、Spotifyなどシングルサインオン機能を使っているサードパーティサービスについては攻撃を受けた証拠は見つからなかったと発表した。
米Facebookは10月2日(現地時間)、9月28日に発表したユーザーのアクセストークン流出に関する調査の経過報告として、攻撃者が入手したFacebookログインを使ってサードパーティー製アプリにアクセスしたという証拠は見つからなかったと発表した。
同社は28日、セキュリティの脆弱性を突かれてユーザーのアクセストークンが不正に入手され、約5000万人のアカウントに影響があったと発表。影響がありそうな約4000万人と合わせて約9000万人のアカウントのアクセストークンをリセットした。
今回の発表は、Facebookのアカウントでサードパーティー製アプリにログインする「シングルサインオン」機能についてのものだ。Facebookの公式SDKを正しく使っているサービスに対する攻撃の証拠は見つからなかった。例えばInstagramやSpotify、Airbnbなどがこの機能を採用している。
公式SDKを正しく使わずにシングルサインオン機能を取り込んでいるサービスについては確認できないため、サービスの開発者向けにユーザーが攻撃の影響を受けていないかどうか手動で確認するためのツールを構築しているという。
Facebook本体へのログインについては引き続き調査中らしく、発表文では特に言及していない。攻撃者についても説明はない。プロダクトマネジメント担当副社長のガイ・ローゼン氏は「この攻撃が起こったことを申し訳なく思っています。調査で判明したことは逐一報告していきます」としている。
関連記事
- Facebook情報流出、日本ユーザーの被害有無は「調査中」
Facebookから約5000万人のアクセストークンが流出した件についてフェイスブックジャパンが改めて謝罪し、対策状況について説明した。 - Facebook、5000万人の情報が流出か 脆弱性突かれアクセストークン流出
Facebookで重大なセキュリティインシデント。脆弱性を突かれてユーザーのアクセストークンが不正に入手され、約5000万人のアカウントに影響があったという。 - Facebook、診断アプリ「myPersonality」のユーザー約400万人に「個人情報が不正に利用された可能性あり」と通知
Cambridge Analyticaのアプリによる個人情報の不正利用発覚以来アプリの調査を続けているFacebookが、診断系アプリ「myPersonality」を削除し、約400万人のユーザーに個人情報が不正に利用された可能性があると通知した。 - Facebook、「CAが集めた個人情報は5000万人ではなく8700万人」 下院もCEOを公聴会に招請
Facebookが、トランプ陣営が雇ったCambridge Analyticaが収集した個人情報件数は、当初報じられた5000万人分より多い、8700万人分だったと発表した。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.