“Facebook情報流出”の問題点を整理する 「パスワード変更」は不要か:ITりてらしぃのすゝめ(2/2 ページ)
9月末、Facebookは約5000万人のアクセストークンが流出したと発表した。今回の事件では何が起きて、どこが問題になっているのか。ユーザーができる最低限の予防策についてもまとめた。
事件が起きたら見直すべきこと
今回のFacebookへの攻撃に関しては、まだその影響も攻撃の実態もよく分かっておらず、Facebookの報告も上記作業を行うよう指示している程度でしかありません。一番気にしていた、「サードパーティー製アプリへのログイン」(Facebookアカウントで外部サービスにログインすること)におけるアクセスは今のところ不正な利用の形跡はないということなので、まずはFacebookのログアウト/ログインで対処は可能のようです。
今回の攻撃は、利用者目線では防止策がないことが分かるかと思います。パスワードの定期変更も無意味でしょう。では、本当に私たちにできることはないのでしょうか。完璧な予防策ではありませんが、ぜひ皆さんにこのタイミングで確認してほしいことがあります。
それは「アプリ連携」です。設定の「セキュリティとログイン」→「アプリとウェブサイト」から「Facebookでログイン」を一覧し、既に利用していないサービスがないかを確認してください。
基本的に使っていないサービスは、ここから削除すべきです。そのアプリはFacebookに対して権限が付与されており、利用者である私たちがデータを閲覧されることを今も許可しているからです。これは私たちが権限を付与したもので、Facebookが不正に権限を取得したわけではないことを理解しておいてください。
実はこれは、Facebookだけでなく普段利用しているGoogle(外部リンク)やTwitter(外部リンク)も同様です。これらのアプリ連携の設定は今回の攻撃とは無関係ではあるものの、セキュリティに関する関心が高まったときにはチェックしておきましょう。特にFacebookにおいては過去にも「診断アプリ」が問題になりました。この話、まだ忘れていませんよね?
今回の事故に関しては、個人的には(今のところ)広く被害が発生していたわけではないと考えています。しかし、FacebookやTwitter、Googleといったサービスは利用者数が多いことから狙われやすく、恐らく今後も同様の事件が明らかになっていくでしょう。まずは各社の指示を確認すること。単にパスワードを変更するだけでは対処が足りない場合もありますので、アプリ連携の見直しは定期的に行いましょう。
そしてもう一つできることとすれば、極論は「サービス自体を使わないこと」かもしれません。とはいえ、もはやそこまでするのは無理なので、例えばFacebookやGoogleでログインするような仕組みをいったんやめたり、各種SNSアカウントとアプリの連携を極力避け、影響範囲を小さくしておくことはアリかもしれません。
関連記事
- Facebook、アクセストークン流出問題で「サードパーティーアプリへのアクセスの証拠なし」
Facebookが、約5000万人のアクセストークンが流出した件で、Spotifyなどシングルサインオン機能を使っているサードパーティサービスについては攻撃を受けた証拠は見つからなかったと発表した。 - Facebook、5000万人の情報が流出か 脆弱性突かれアクセストークン流出
Facebookで重大なセキュリティインシデント。脆弱性を突かれてユーザーのアクセストークンが不正に入手され、約5000万人のアカウントに影響があったという。 - Facebook情報流出、日本ユーザーの被害有無は「調査中」
Facebookから約5000万人のアクセストークンが流出した件についてフェイスブックジャパンが改めて謝罪し、対策状況について説明した。 - Facebook、診断アプリ「myPersonality」のユーザー約400万人に「個人情報が不正に利用された可能性あり」と通知
Cambridge Analyticaのアプリによる個人情報の不正利用発覚以来アプリの調査を続けているFacebookが、診断系アプリ「myPersonality」を削除し、約400万人のユーザーに個人情報が不正に利用された可能性があると通知した。 - Facebook、「CAが集めた個人情報は5000万人ではなく8700万人」 下院もCEOを公聴会に招請
Facebookが、トランプ陣営が雇ったCambridge Analyticaが収集した個人情報件数は、当初報じられた5000万人分より多い、8700万人分だったと発表した。 - Facebook、非ユーザーの情報も収集していることについて「GoogleやTwitterもやっている」
Facebookが、ザッカーバーグCEOが出席した公聴会で質問が集中したFacebook以外のアプリやWebサイトでのユーザー情報収集について説明し、同じことをGoogle、Twitter、Amazonもやっていると強調した。
Copyright © ITmedia, Inc. All Rights Reserved.