

Facebook ユーザーにターゲット広告を送信するために 2FA 電話番号を使用するという物議を醸した慣行が確認された直後、同プラットフォームは少なくとも 5,000 万のアカウントが攻撃者に侵害されることになる欠陥を発見した。
Facebookは本日のブログ投稿で、「View As(他のユーザーによる閲覧)」機能の脆弱性について詳細を発表しました。この脆弱性により、ハッカーがFacebookアカウントを乗っ取ることが可能になりました。「View As(他のユーザーによる閲覧)」機能は、ユーザーが自分のプロフィールを他のユーザーと同じように閲覧できる機能です。Facebookのプロダクトマネジメント担当副社長であるガイ・ローゼン氏は、最近発見された脆弱性により、攻撃者がアクセストークンを取得できたと述べています。アクセストークンは、ユーザーが複数のセッションでアカウントにログインし続けるために必要なものです。このトークンこそが、攻撃者がFacebookアカウントを乗っ取るための手段だったのです。
Facebookの調査は現在も進行中です。この脆弱性は修正されましたが、盗まれたトークンが使用されたかどうか、また使用されたとすれば何アカウントが影響を受けたかはFacebookでは不明です。いずれにせよ、Facebookは9,000万アカウントのアクセストークンをリセットしたため、プラットフォームへの再ログインが必要になる可能性があります。
私たちがすでに講じた措置は次のとおりです。まず、脆弱性を修正し、法執行機関に通報しました。
次に、セキュリティ保護のため、影響を受けたと判明している約5,000万アカウントのアクセストークンをリセットしました。また、昨年「別のユーザーとして表示」による検索の対象となった4,000万アカウントについても、予防措置としてアクセストークンをリセットしました。これにより、約9,000万人のユーザーがFacebook、またはFacebookログインを利用するアプリに再度ログインする必要が生じます。ログイン後、ニュースフィード上部に、何が起きたかを説明する通知が表示されます。
この脆弱性は、Facebook が 1 年以上前に動画アップロード機能に加えた変更によって生じたものです。
この攻撃は、コード内の複数の問題の複雑な相互作用を悪用しました。これは、2017年7月に動画アップロード機能に加えた変更(「View As」機能に影響)に起因しています。攻撃者は、この脆弱性を発見してアクセストークンを取得するだけでなく、そのアカウントから別のアカウントへと切り替えて、さらにトークンを盗む必要がありました。
最後に、セキュリティアップデートでは、ユーザーはパスワードを変更する必要はないと述べ、短い謝罪で締めくくられています。
人々のプライバシーとセキュリティは極めて重要であり、このような事態が発生したことを深くお詫び申し上げます。そのため、これらのアカウントを保護するために直ちに措置を講じ、ユーザーに状況をお知らせしました。パスワードを変更する必要はありません。
この最新の侵害により Facebook の使用を再検討する必要がある場合は、アカウントを無効化または削除するためのガイドを確認してください。
最新情報:FTCのロヒット・チョプラ委員長はこのニュースについて「答えが欲しい」とツイートした。
答えがほしい。https://t.co/kZSttt4fmF
— ロヒット・チョプラ (@chopracfpb) 2018年9月28日
Facebookはさらに詳細を明らかにしたが、ハッカーは侵入したアカウントを通じてサードパーティのアプリにアクセスしていた可能性がある。
これはまずい。フェイスブックは記者団に対し、今日公開されたこのハッキングにより、ハッカーが侵入したフェイスブックアカウントを通じてサードパーティのアプリにログインできたと伝えた。
つまり、ケンブリッジ・アナリティカの再来のような事態を我々は見ている可能性がある
— アレックス・ヒース(@alexeheath)2018年9月28日
Apple のニュースをもっと知りたい場合は、YouTube の 9to5Mac をご覧ください。
havebin.com を Google ニュース フィードに追加します。
FTC: 収益を生み出す自動アフィリエイトリンクを使用しています。詳細はこちら。