Facebookは3月21日(米国時間)、「Keeping Passwords Secure|Facebook」において、Facebookなどのパスワードの一部が平文の形式でログファイルに記録されていたことが明らかになったとして、このセキュリティインシデントに対するFacebookの姿勢や取り組みなどを発表した。

続いて、4月18日(米国時間)にリリースの内容がアップデートされ、調査の結果、Instagramのユーザー数百万人分に関してもパスワードがログに記録されていたことが明らかになったと伝えた。Facebookは該当するユーザーに対して通知を行うと説明している。

  • Keeping Passwords Secure|Facebook

    Keeping Passwords Secure|Facebook

一般的に、パスワードを平文で保存することはセキュリティ上、問題があると考えられており、ソルト付きのハッシュ値で保存するといった仕組みが採用されることが多い。しかし、今回、Facebookは一部のアカウントデータをログデータに平文のまま記録していたことが明らかになった。Facebookはログに記録されていたデータは外部に漏洩しておらず、悪用された痕跡も確認できていないと説明している。

この数年間、大量のアカウントデータが漏洩するインシデントが続いている。サイバー攻撃にはこうしたインシデントから漏洩したアカウントデータが悪用されるため、すべてのアカウントにおいて異なるパスワードを使っておくことが推奨されている。同じパスワードを使い回していると漏洩したアカウントデータからほかのアカウントにログインが可能になる危険性があるとされており注意が必要。

Facebookもアカウントごとにパスワードを変えることや、パスワード管理アプリなどを使って強力なパスワードを生成して利用することなどを推奨している。