“Facebook情報流出”の問題点を整理する 「パスワード変更」は不要か：ITりてらしぃのすゝめ（2/2 ページ）

9月末、Facebookは約5000万人のアクセストークンが流出したと発表した。今回の事件では何が起きて、どこが問題になっているのか。ユーザーができる最低限の予防策についてもまとめた。

[宮田健，ITmedia]

事件が起きたら見直すべきこと

　今回のFacebookへの攻撃に関しては、まだその影響も攻撃の実態もよく分かっておらず、Facebookの報告も上記作業を行うよう指示している程度でしかありません。一番気にしていた、「サードパーティー製アプリへのログイン」（Facebookアカウントで外部サービスにログインすること）におけるアクセスは今のところ不正な利用の形跡はないということなので、まずはFacebookのログアウト／ログインで対処は可能のようです。

• Facebookログインに関するお知らせ（Facebook）
• Facebook、アクセストークン流出問題で「サードパーティーアプリへのアクセスの証拠なし」（ITmedia NEWS）

　今回の攻撃は、利用者目線では防止策がないことが分かるかと思います。パスワードの定期変更も無意味でしょう。では、本当に私たちにできることはないのでしょうか。完璧な予防策ではありませんが、ぜひ皆さんにこのタイミングで確認してほしいことがあります。

　それは「アプリ連携」です。設定の「セキュリティとログイン」→「アプリとウェブサイト」から「Facebookでログイン」を一覧し、既に利用していないサービスがないかを確認してください。

アプリ連携の設定（筆者のスマホ画面）

　基本的に使っていないサービスは、ここから削除すべきです。そのアプリはFacebookに対して権限が付与されており、利用者である私たちがデータを閲覧されることを今も許可しているからです。これは私たちが権限を付与したもので、Facebookが不正に権限を取得したわけではないことを理解しておいてください。

　実はこれは、Facebookだけでなく普段利用しているGoogle（外部リンク）やTwitter（外部リンク）も同様です。これらのアプリ連携の設定は今回の攻撃とは無関係ではあるものの、セキュリティに関する関心が高まったときにはチェックしておきましょう。特にFacebookにおいては過去にも「診断アプリ」が問題になりました。この話、まだ忘れていませんよね？

• Facebook診断アプリに注意　情報流出の被害、友達にも　対策は（ITmedia NEWS）

　今回の事故に関しては、個人的には（今のところ）広く被害が発生していたわけではないと考えています。しかし、FacebookやTwitter、Googleといったサービスは利用者数が多いことから狙われやすく、恐らく今後も同様の事件が明らかになっていくでしょう。まずは各社の指示を確認すること。単にパスワードを変更するだけでは対処が足りない場合もありますので、アプリ連携の見直しは定期的に行いましょう。

　そしてもう一つできることとすれば、極論は「サービス自体を使わないこと」かもしれません。とはいえ、もはやそこまでするのは無理なので、例えばFacebookやGoogleでログインするような仕組みをいったんやめたり、各種SNSアカウントとアプリの連携を極力避け、影響範囲を小さくしておくことはアリかもしれません。