Facebookのアクセストークン流出に関して利用者ができること

2018年9月29日

今回のFacebookの情報流出について、利用者側でするべきことは

  • 特にありません。

今回のFacebookの情報流出について、利用者側で「しなくてよい」ことは

  • 慌ててパスワードを変更すること。今回の件はパスワードの流出ではないので、変更する必要はありません。
  • パニックになること。自分がFacebookからログアウトしているのに気付いても、慌てる必要はありません。Facebookは該当するユーザーアカウントのアクセストークンをすでにリセット済みだとしていますので、あなた以外の人があなたのアカウントにアクセスすることはできなくなっています。パスワードと2段階認証コード(2段階認証を有効にしてある場合)を 入力してログインし直してください。
  • Facebookアカウントを消すこと。今回の件はそこまでの問題ではありません。もちろん、アカウントの削除はいつでも可能ですが。

事の次第

Facebookは9月28日、Facebookのエンジニアリングチームが「約5000万のアカウントに影響があるFacebookのセキュリティ脆弱性を発見」したとするセキュリティに関するアップデートを公開しました。かなり高度な攻撃により、何者かが5000万アカウントのアクセストークンを盗んだと見られます。

Facebookの説明によると、あるアカウントのアクセストークンを持っていれば、ログインIDやパスワードや2段階認証を入力しなくても、そのアカウントにログイン可能です。したがって、5000万アカウント分のアクセストークンを手にした人は、この5000万アカウントにアクセス可能となります。今回の件は、アカウントのログイン情報が漏れたのではなく、2段階認証メカニズムが突破されたのでもありません。アクセストークンがあれば、ログインや2段階認証を迂回できるのです。

Facebookでは、まだ調査は初期段階であるとしながらも、何者かがFacebookの「View As(特定のユーザーへのプレビュー)」機能の脆弱性を発見して悪用し、5000万アカウントのアクセストークンを入手したとの疑いを表明しています。そのため、この機能を無効化し、該当するアカウントのアクセストークンをリセットしたのち、過去にこの機能を利用したことのある4000万ユーザーについてもアクセストークンをリセットする措置がとられています。4000万アカウント分に関しては予備的な意味合いであるようですが、現時点では慎重を期するに越したことはないと思われます。

アクセストークンがリセットされると、該当のトークンを持つ人はアカウントにアクセスできなくなり、再度ログインが必要になります。不正にアクセストークンを入手した何者かは、アカウントのログインIDとパスワードを知らないので、そのアカウントにはアクセスできなくなります。

現時点では、利用者側でアクションを起こす必要はありません。

Facebookは第一報の後に、同セキュリティアップデートの更新情報として、View As機能に関わる3つの不具合が脆弱性を形成したこと、脆弱性により一部アカウントのアクセストークンを手に入れた攻撃者が、それらアカウントを起点に次々と他のアカウントのアクセストークンを盗んでいったこと、問題となった脆弱性は修正済みであることを追記しています(英語版のセキュリティアップデート)。