米Facebookは9月28日 (現地時間)、サービスへのログイン認証においてデジタルキーに相当するアクセストークンがサイバー攻撃によって流出したことを発表した。被害規模は約5,000万アカウントに及ぶ。

同社のエンジニアリングチームがサイバー攻撃を発見したのは9月25日の午後。Facebookには、公開範囲の制限をプレビュー確認できる「プレビュー (View As)」が用意されている。自分のプロフィールページにアクセスする人の視点で、自分のページの表示を確かめられる機能だ。攻撃者は同機能の脆弱性を突いて、アクセストークンを盗み取った。アクセストークンは、ログインしたユーザーがパスワードなどを再入力することなくアクセスできるようにログイン状態を維持する。悪用された場合、アカウントが乗っ取られる可能性がある。

Facebookによる調査はまだ初期段階であり、アクセストークンの不正利用やFacebookアカウントへの不正アクセスがあったかは28日時点では不明。攻撃が行われた場所や攻撃の背景についても分かっていない。攻撃は複雑なプロセスで実行されており、Facebookが2017年7月に実施したビデオアップロード機能の変更がプレビュー機能に影響を及ぼす脆弱性を攻撃者は発見し、それを利用してアクセストークンを入手、そのアカウントを起点に他のアカウントのトークンも盗み取った。

Facebookはすでに3つの対策を講じている。

まず、プレビュー機能の脆弱性を修正、サイバー攻撃について法執行機関に報告した。

次に、流出した可能性がある約5,000万アカウントのアクセストークンをリセットした。さらに被害拡大の予防策として、2017年にプレビュー機能を利用した他の4,000万アカウントについても同様の措置を進めており、最終的に合計9,000万アカウントのアクセストークンをリセットする。これらのアカウントがFacebookを利用するには再ログインが必要になり、ログイン後にニュースフィードのトップにアクセストークンの流出を説明する通知が表示される。

3つめの措置は「プレビュー (View As)」の一時的な無効化。サイバー攻撃に関する調査とセキュリティレビューが完了するまで機能を停止させる。

今回の流出はアクセストークンであるため、ユーザーがパスワードを変更する必要はない。「パスワードを思い出せない」などリセット後のログインに問題がある場合、ヘルプセンターを確認するようにFacebookは呼び掛けている。また、念のために自身で全てのデバイスでログアウトを実行したい場合は「設定」の「セキュリティとログイン」から行える。