EVENT | 2018/10/10

「Facebookのユーザー情報が5000万人分漏洩」という10月6日の報道に既視感を覚えるも、今年春の流出騒ぎとは目的も手法もまったく異なっていた


Photo By Shutterstock

Facebookのユーザー情報5,000万人分が流出した可能性があ...

SHARE

  • twitter
  • facebook
  • はてな
  • line

Photo By Shutterstock

Facebookのユーザー情報5,000万人分が流出した可能性があることが9月28日に公表され、ネット上は一時騒然となった。10月6日にも、さらにFacebookユーザーのものとみられる25万人分の個人情報が漏洩していることが判明している。ソーシャルネットワークにおける個人情報の提供について、ユーザーはもっと慎重になる必要があるようだ。

伊藤僑

Free-lance Writer / Editor 

IT、ビジネス、ライフスタイル、ガジェット関連を中心に執筆。現代用語辞典imidasでは2000年版より情報セキュリティを担当する。SE/30からのMacユーザー。

半年前の個人情報漏洩はFacebookアプリを使用

「Facebookのユーザー情報が5,000万人分流出」という報道を見て、「以前にも同じようなニュースを見たことがあるような……」と既視感を覚えた人もいたことだろう。確かに今年春にも、Facebookはユーザー情報が5,000万人分流出(その後8,700万人に拡大)したことを明らかにしている。

だが、前回と今回では、情報流出に至る経緯や手法、必要な対策などはまったく異なっていた。

今年春に明らかになったユーザー情報の流出は、英国の政治コンサルティング企業「ケンブリッジ・アナルティカ(Cambridge Analytica)」が、2016年の米国大統領選に活用するために起こしたとされており、その手法は、Facebook上で提供されていた性格診断用のクイズアプリを用いたものだった。

そのため、同様の被害を防ぐ情報漏洩対策としては、個人情報の提供を求めるFacebookアプリを削除するか、プライバシー設定を見直して提供する情報を制限することが考えられた。

今回の情報漏洩は脆弱性を突いたサイバー攻撃

これに対し、9月28日に明らかになったユーザー情報の漏洩は、アカウントの乗っ取りなどを企てる外部の攻撃者が脆弱性を突いて実行したものとされる

Facebookによれば、今回のサイバー攻撃は、自分のプロフィールが他のユーザーからどのように見えるかを確認できる「View As」というFacebookの機能が内包した脆弱性を利用したもので、その時点でログイン状態を保持するユーザー約5,000万人分の「アクセストークン」が盗み出されたという。

そこで同社は、直ちに脆弱性を修復し捜査当局に報告。影響があったと推定される約5,000万アカウントと、予備的措置としての4,000万アカウントを合わせた、約9,000万アカウントのアクセストークンをリセットしている。ただし、調査はまだ初期段階にあり、日本のユーザーへの影響や攻撃者に関する情報は判明していない。かなり高度なスキルを有する者による攻撃だったことは間違いないようだ。

9月28日以降に、Facebookを利用しようとして再ログインを求められた人は、このアクセストークンのリセットが原因かもしれない。

アカウント削除やパスワード変更の必要はない

今回流出した情報はアクセストークンで、パスワード情報ではなかった。そのため「自分が該当していたら大変だ!」と慌ててパスワードを変更する必要はない。もちろん、アカウントの削除もしなくていい

アクセストークンとは、ユーザーのセキュリティ認証情報のことだ。

ユーザーはウェブサービスなどを利用する際に、ログインIDやパスワードを入力することで認証されるが、このIDやパスワードを各認証ページに引き継ぐことはセキュリティ上危険なため、初回のログイン時以降は、ユーザー認証の役割はアクセストークンに引き継がれる。

そのため、あるアカウントのアクセストークンを持っていれば、ログインIDやパスワードを入力しなくても、そのアカウントにログインすることができてしまうのだ。

しかし、ユーザーがそのアカウントからログアウトしてしまうと、それまでのアクセストークンは無効となり、新たにログインすれば、異なるアクセストークンが割り振られる。Facebookが流出した恐れのあるアクセストークンをリセットしたのはこのためだ。

とはいえ、アクセストークンの流出を甘く見てはいけない。Facebookのアカウントを使ってさまざまなサードパーティのサイトやアプリにログインしている場合には、Facebookのアクセストークンを使って、それらにログインできてしまうからだ。

アクセストークンの流出対策としては、小まめにログアウトする習慣をつけることが考えられる

またも日本人を含む25万人分の個人情報が流出

さらに10月6日には、Facebookユーザーのものとみられる携帯電話番号やメッセージ履歴などの個人情報25万人分が、インターネット上に流出していることが判明。世界最大の交流サイトからの相次ぐ個人情報流出に衝撃が走った。Facebookも情報が流出した恐れがあることを認めているという。

ソーシャルネットワークにおける個人情報の提供について、ユーザーはもっと慎重になる必要があるようだ。