Facebookは本日、過去14ヶ月間にバグのあるコードが原因で全ユーザーアカウントがハッカーの手に渡った可能性があると発表しました。同社によると、少なくとも5,000万人、おそらくは9,000万人のユーザーのプライベートプロフィールがハッカーに盗み見されたと推定されています。
ソーシャルメディア大手の製品管理担当副社長ガイ・ローゼン氏は、金曜日の朝に投稿したセキュリティメモの中で、今週初めに同社がセキュリティホールを発見し、悪質な人物が数千万人分のアカウントアクセストークンを盗むことが可能になったと述べた。
これらのトークンは、パスワードを知らなくても関連する Facebook アカウントにログインするために使用され、犯罪者は被害者の個人情報、写真、ビデオをダウンロードすることができました。
盗まれたトークンは、ハッキングされた各Facebookアカウントに紐付けられたアプリやウェブサイトへのログインにも使用される可能性があります。これらのアプリやウェブサイトは、サイバー攻撃者によって乗っ取られる可能性があります。盗まれたトークンを使って誰かのFacebookプロフィールにログインし、そのアカウントに紐付けられたサイトやアプリにログインするだけで、簡単に攻撃を仕掛けることができます。
事実上、Facebookのユーザーアカウントはハッキングの危険に晒されていた。シリコンバレーの巨大企業である同社は、広報担当者の言葉を借りれば「直接影響を受けた」アカウントは「わずか」5000万アカウントと推定している。さらに4000万アカウントのアカウントが「検索」された。Facebookはすでにこのセキュリティホールを修復し、9000万人のユーザーをログアウトさせてアクセストークンを無効化した。Facebookの担当者は、ハッカーがユーザーになりすまして投稿を行ったり、クレジットカード情報を盗んだりした事実はないと述べた。「詳細が分かり次第、お知らせします」と担当者は語った。
このセキュリティホールは、「表示方法」オプションに存在していました。このオプションでは、ユーザーは自分のプロフィールが他のユーザーにどのように表示されるかを確認できるため、プライベートな投稿は非公開にし、公開投稿は公開されているかを確認できます。Facebookのエンジニアは、ハッカーが「Facebookのアクセストークンを盗み、それを使って他人のアカウントを乗っ取る」ことができる脆弱性を発見したことを発見しました。
「今回の攻撃は、当社のコードにおける複数の問題の複雑な相互作用を悪用したものでした。これは、2017年7月に動画アップロード機能に加えた変更に起因しています」と、ソーシャルネットワークは声明で述べた。
スパイク
金曜日の朝、シリコンバレーで行われた記者会見で、Facebookの担当者はより詳細な説明を行った。この脆弱性は3つの異なるバグによって生じたものだった。1つ目は、特定の投稿に動画アップロード機能が表示される(本来表示されるべきではない)バグだった。2つ目は、その投稿者がアクセストークンを生成するバグだった。そして3つ目は、生成されたアクセストークンが、実際のユーザーではなく、検索対象となっている人物のものになってしまうバグだった。つまり、第三者がユーザーのアカウントに直接アクセスできる可能性があるということだ。
Facebookは火曜日にユーザーアクティビティの不審な「急増」に気づいた後、この脆弱性を発見した。同社は攻撃が「かなり大規模」だったことを認め、原因を調査した結果、ハッカーがサイトのAPIを利用してユーザーのプロフィール情報を取得するプロセスを自動化していたことが判明した。
ザッカーバーグ氏が再び謝罪…フェイスブックは20億人以上のユーザーの「ほとんど」の公開プロフィールがボットに盗まれた可能性があることを認める
続きを読む
フェイスブックは翌日法執行機関に通報し、すぐにセキュリティホールを修正し、2017年7月以降に「View As」オプションにアクセスしたすべてのアカウントをログアウトしたと発表した。
「当社はセキュリティを継続的に強化しており、これは攻撃が絶えず行われているという事実を改めて浮き彫りにしています」とCEOのマーク・ザッカーバーグ氏は述べた。「今後もこの問題に注力していく必要があります。」
これは、台湾のハッカーが日曜日にザッカーバーグ氏のFacebookアカウントへのハッキングの様子をインターネットでライブ配信すると脅迫したことを受けてのことだ。ザッカーバーグ氏は態度を一転させ、Facebookが本日ハッキングを認めた数時間以内に、このウェブ動画配信を中止した。
今週初め、Facebook が二要素認証用に提供された携帯電話番号を、広告ではなくセキュリティ上の理由から提供されただけであるにもかかわらず、広告のターゲットに使用していたことが明らかになりました。®
追加更新
午後の記者会見の後、ザッカーバーグCEOと最高執行責任者(COO)シェリル・サンドバーグ氏のFacebookアカウントがハッキング被害に遭ったことが明らかになりました。また、スワイプされたアクセストークンを使って、Facebookを認証に利用していたアプリやウェブサイトにログインできたことも確認されました…おっと!
