フェイスブック、数億人分のパスワードを「平文で保存」認める
フェイスブックは2012年以来、何億ものユーザーのパスワードをプレーンテキスト(平文)で保管していた。2万人を超える同社の従業員が、こうしたユーザーのパスワードに容易にアクセスし、閲覧できた可能性がある。
注意深く言葉を選んで書かれた声明文(日本版はこちら)でフェイスブックは、不正利用の証拠は見つかっていないが、この問題についてユーザーに通知を開始するのを約束すると述べている。同社は、ユーザーがパスワードを変更する必要はないとしている(とはいえ、一部の専門家はパスワードを変更するよう勧めている)。
ユーザーは、普段使っていない端末が自分のアカウントにログインした場合に通知を受ける設定も選択できる。注目すべき点は、パスワードにアクセスできたのは完全に組織内部だけで、フェイスブック社外には流出していないということだ。
フェイスブックは3月21日にこの問題をブログで発表した(当たり障りなく「パスワードの安全に関するお知らせ(Keeping Passwords Secure)」と題されている)。ほぼ同時に、サイバーセキュリティ研究者のブライアン・クレブスが、この問題を自身のブログで発表している。フェイスブックが最初にこの問題に気がついたのは1月頃とのことだが、クレブスが公表しなかった場合、フェイスブックが自ら公表したかどうかは疑問だ。
今回の件は、大金を払って有能なサイバーセキュリティ専門家を雇っているフェイスブックにとっては、なお一層の恥ずかしい出来事だ。パスワードをプレーンテキストで保存することは、セキュリティの観点から見ると、そら恐ろしい慣行である。フェイスブックほどの規模と資産を持つ会社であれば、ユーザーは相応の管理を期待していたはずだ。昨年3月に起こったケンブリッジ・アナリティカのスキャンダルの後遺症から、世界中でフェイスブックが直面している広範な訴訟まで、同社には1週間と間を開けずに悪いニュースがあるように思える。