Sponsored Contents

securityの最新記事

Image credit:
Save

Facebook、最大5000万人分のアクセストークン流出。予防措置で9000万人を強制ログアウト

アカウントへの不正アクセスは確認されていないとのこと

山本竜也(Tatsuya Yamamoto)
2018年9月29日, 午後03:00 in security
453シェア
259
114
0
80

連載

注目記事

4年ぶりの新生Mac mini レビュー。10万円以下で買えるCore i3モデルの実力は?

4年ぶりの新生Mac mini レビュー。10万円以下で買えるCore i3モデルの実力は?

Brother Hawk, 12月10日
View

Facebookは9月28日(米時間)、複数の不具合を悪用した攻撃により、ユーザーアカウントにアクセス可能なアクセストークンが最大5000万人分流出した可能性があると発表しました。影響を受けるユーザーについては、すでにアクセストークンが無効化にされ、これにより、Facebookの再ログインが必要になっています。

アクセストークンは、ユーザーがアプリを使用するたびに、パスワード入力を不要にするためのデジタルキーのようなもの。通常はログイン時に作成され、ログアウト時に破棄されますが、これを悪用すると、パスワードなどでログイン操作をすることなく、アカウントにアクセスできることが可能になります。

Facebookには、自分のプロフィールが他の人からはどのように見えるかを試せる「View As(プロフィールのプレビュー)」機能がありますが、この機能に脆弱性があり、第3者がアクセストークンを盗める状態になっていたとのことです。

すでにこの脆弱性は修正されているほか、原因となっていたView As機能を一時停止しました。また、盗まれた可能性のある最大5000万人分のアクセストークンを無効化し、念のために、脆弱性が存在した昨年時点で、View As機能を利用したことのある4000万人のアクセストークンも同じく無効化したとのこと。これにより、合計で最大9000万アカウントに影響を与えることとなっています。

影響を受けた(アクセストークンが無効化された)アカウントでは、Facebookアプリからログアウトが行われており、再度ログイン操作が必要になっているほか、ログイン時に上図のような通知が表示されるとのことです。

調査を始めたばかりではあるものの、今回の件による不正アクセスは確認されていないとのこと。

なお、流出したのはログイン状態を維持するアクセストークンであり、パスワード自体が漏洩しているわけではありません。このため、本件によるパスワード変更の必要はないとしています。

セキュリティとログイン」のページから、Facebookにどこからログインしたかを確認できるので、念のためチェックしておくと安心かもしれません。


453シェア
259
114
0
80

Sponsored Contents