Facebookへのサイバー攻撃が発生。約5000万人のアクセストークンが流出か

facebookは9月28日、セキュリティの脆弱性を突かれてユーザーのアクセストークンが不正に入手されたことを発表しました。

【参考】セキュリティに関する重大なアップデート

https://ja.newsroom.fb.com/news/2018/09/security_update/

今回の脆弱性はfacebookのプロフィールページの「プレビュー(View as)機能」におけるバグを悪用したものです。プレビューは本来、プロフィールを表示するだけの機能ですが、実際にはビデオを投稿するツールが表示されてしまうバグがあり、攻撃者はこのバグを悪用することで、facebookへのログイン状態を保持するアクセストークンを不正に入手できる状態になっていました。アクセストークンとはfacebook関連のサービスをログインせずに利用するためのデジタルキーです。

facebookはこの脆弱性が発覚した後、悪用されたコードを修正して、アクセストークンがこれ以上、流出しないように対策しました。さらに法的な機関への通報も行ったとのことです。

加えて、今回の脆弱性の被害にあった約5000万アカウントのアクセストークンを無効にし、他にも予備的措置として約4000万アカウントでもアクセストークンのリセットを行いました。なお2018年10月1日現在で、facebookのプロフィールのプレビュー機能は使用できない状態が続いています。

今回流出したのはアクセストークンであるため、パスワード変更をする必要はないとのことです。盗まれたアクセストークンが不正に利用されたかどうかなどは、まだ判断が使いない状況です。

ちなみにfacebookにログインしているデバイスを調べる方法として、「セキュリティとログイン」という管理画面で確認する方法があります。

【参考】セキュリティとログイン

https://www.facebook.com/settings?tab=security

このページの「ログイン場所」という項目からfacebookにログインしているデバイスを確認できます。もし見慣れないデバイスが表示されていたら、不正アクセスされている可能性があります。管理画面から該当のデバイスを強制ログアウトさせることも可能ですので、心配な方は一度ご確認ください。

問題はfacebookだけに留まらないかもしれない

今回のfacebookの脆弱性の対策の影響で、これまでログイン処理をせずにfacebookを利用していたユーザーが、突然、再ログインを強制されるようになっていました。筆者は対象ではなかったのですが、数名の友人が強制再ログインさせられて戸惑っていました。

問題の影響範囲がfacebookだけなら、まだ良いのですが、このようなアカウント管理の問題において一つ気になる事があります。それはfacebookのアカウントを利用したシングルサインオンの問題です。

 

シングルサインオンとは

シングルサインオンとは認証が必要な複数のサービスに対して、特定の一つのサービスにログインするだけで、他の各サービスを利用可能になる仕組みのことです。インターネット上には様々なWebサービスが公開されていますが、基本的には各サービスそれぞれにログインに必要なIDとパスワードを用意する必要があります。

そこで、シングルサインオンという仕組みを使い、facebookのログイン情報を使いまわすことで、まったく別のWebサービスを利用できるようになります。つまりユーザーは管理すべきIDとパスワードの数を減らすことができます。

これはすごく便利な機能であると思うのですが、筆者はシングルサインオンを使用して複数のWebサービスに登録したことはありません。なぜなら、今回のようにシングルサインオンで利用しているサービスの認証情報が流出されることで、他のサービスへのログインにも悪影響が発生することが考えられるからです。

まさにセキュリティ対策と利便性がトレードオフの関係であることを象徴するような機能が、シングルサインオンなのです。便利だとわかってるけど、実際に使うのは怖いなっていうのが、シングルサインオンに対する筆者の印象です。

 

facebookの今後の対応にも注目

今回の事件はfacebookに存在していたバグを悪用したものでした。事件の詳細についてはまだ調査中とのことです。今後影響を受けるアカウントが増えれば、該当者のアクセストークンもリセットすると発表しています。今後もfacebookからの情報には注目する必要があるでしょう。

(Photo by Glen Carrie on Unsplash

LINEで送る
Pocket

こんな記事も読まれています