FB5000万件情報流出、被害に遭った可能性を確認するには?
フェイスブックが9月28日に発表したところによると、9月25日午後、ハッカーが同社のソフトウェアの弱点を突き、5000万人近くのユーザーの記録にアクセスした。フェイスブックはすでに脆弱性を修正し、情報が流出したことを警察に通報したという。
フェイスブックは9月28日、ユーザーに対し、アカウントからのログアウトとアカウントへの再ログインを強く促す処置を取っており、再ログインを求められたユーザーは被害にあった可能性が高い。
ハッカーは「ビュー・アズ(View As)」機能に影響を与えるコーディングの欠陥を悪用したという。ビュー・アズは、フェイスブックに登録した自身のプロフィールが、他のユーザーにどのように見えるのかを確認する機能。この機能によって、ユーザーはデジタル「トークン」を入手できる。デジタル・トークンとはソフトウェアの鍵のことで、ユーザーが毎回、再ログインすることなくアカウントにアクセスできるようにするものだ。だが、ハッカーの手に鍵が渡ってしまうと、ハッカーもユーザーのアカウントにアクセスできてしまう。被害状況はまだ明らかになっていない。
フェイスブックによると、すでにソフトウェアの欠陥を修復し、被害にあった5000万件近くのアカウントのアクセス・トークンをリセットしたという。そのため、9月29日にあなたがフェイスブックのアカウントから突然締め出され、再ログインしなければならなかったとしたら、情報流出の被害にあった可能性がある。しかし、もし再ログインを求められたとしても、被害にあったことが確定するわけではない。フェイスブックは予防措置として、過去1年間でビュー・アズを使って自身のプロフィールを閲覧した4000万件のユーザーに対しても、トークンをリセットしたからだ。
フェイスブックは「情報流出は9月25日に発覚したばかりだ」とし、当件を速やかに公表したようだが、数多くの疑問に答える必要がある。ハッカーらはフェイスブックのネットワークにどれだけの時間、侵入していたのか。ハッカーたちは一体、何をしたのか。フェイクニュース拡散のためにフェイスブックが悪用された件を受けて徹底的な調査をしていたその時に、なぜシステム基盤のセキュリティをより厳格に管理していなかったのか。最近、セキュリティ責任者のアレックス・スタモスがフェイスブックを退社し、セキュリティ専門部隊を解散させ、人員を他部門に配置換えしたようだが、このことがセキュリティの穴を見逃した原因なのか。
ケンブリッジ・アナリティカ(Cambridge Analytica)事件で顧客データの保護に失敗したことを受け、徹底的なセキュリティ体制を敷いていたとはずのフェイスブックにとって、今年は良くないどころか、最悪の年になりそうだ。
マーク・ザッカーバーグCEO(最高経営責任者)ら上級幹部はすでに、フェイスブックの失態を調査する公聴会の常連となっている。近いうちに、ワシントンに再び出向くことになるかもしれない。
- 参照元: New York Times、Facebook