脱炭素とはなにか
フェイスブックは今回の流出騒動について、ユーザーに対しヘルプセンターなどを通して説明を行っている。
約5000万人分のアクセストークン(暗号鍵)流出が発生し、予防策を含めて約9000万人のユーザーの強制ログアウトを実施したSNS大手のフェイスブック。そんな中、日本法人であるフェイスブックジャパンは10月2日、報道関係者向けに2018年第2四半期の取り組みについて説明会を行った。
発表会の冒頭、同社代表取締役の長谷川晋氏が取り組みの解説の前に、今回のアクセストークン流出に関する現時点での状況を説明した。
日本ユーザーへの影響は「現在調査中」
今回の一連の騒動を同社がまとめた資料(2018年10月2日時点)。
今回の流出騒ぎに関する内容は、簡単にまとめると以下のようになっている。
- 9月25日、フェイスブックのエンジニアチームがシステムの脆弱性を発見。脆弱性は利用者のプロフィールの表示内容を確認する「View As」機能を主とするものだった。
- 該当の脆弱性を突いた攻撃者は、フェイスブックにログインし続けるためのアクセストークンを不正に入手していた。
- 流出したアクセストークンはログアウトすると無効化されるため、フェイスブックは影響のあった全世界約5000万人および予備的措置として約4000万人、合わせて9000万人のアカウントを強制的にログアウトさせた。
- 今回の被害はすでに捜査当局に通報済み。該当する脆弱性も修正済みだが、原因の一つであるView As機能は一時的に利用不可となっている。
- 以上の内容は、日本向けにも9月29日付けでニュースルームで公開中。
長谷川氏は冒頭、今回の事態について「重大なことと受け止めている」と発言。同社のマーク・ザッカーバーグCEOがポストした内容を引用し、「フェイスブックとして、安心安全にサービスを使ってもらうことは自社の最優先事項である」と語っている。
10月17日には、報道関係者向けに本社プライバシー責任者によるビデオ会議も予定されている。
しかしながら、現時点では攻撃者の正体や目的だけではなく、国ごとの影響するユーザー数の割合などの詳細は「現在も調査中で、詳細が判明次第、ニュースルームで積極的に発信していく」(長谷川氏)とのこと。
外部サイトへの影響は「現時点で確認されていない」
フェイスブック ジャパン 代表取締役の長谷川晋氏。
アクセストークンが流出したことにより、どのような影響があるのか。
アクセストークン自体は暗号鍵のため、そのデータ自体に個人情報が含まれているわけではない。ただし、フェイスブックが強制ログアウトを実施するまでの間、影響するアカウントへの不正アクセス・不正使用があった可能性は否めない。
また、今回の流出騒ぎはフェイスブックが提供するサービス内だけに留まらない。
大手を含む一部ウェブサービスは、サインアップおよびログイン作業を簡素化するため、フェイスブックアカウントによるログイン機能(Single Sing On)を採用している。
SSOは、フェイスブックにログインしていれば、ユーザーが紐づけたサービスにもワンクリックでログインできるというものだが、仮に流出したアクセストークンを利用し、アカウントに不正アクセスした場合、SSOを採用しているサービスにもアクセスできる可能性がある。
この問題に対し、長谷川氏はBusiness Insider Japanの取材に以下のように答えている。
長谷川氏「(SSO機能を悪用して)情報を引き出せた可能性はある。ただし現在のところ、今回の問題に起因する大規模な外部へのアクセスの痕跡は見つかっていない。また、API等を通じて各パートナーとは連携・連絡をとりあっており、詳細については調査中」
あくまでも現時点では、外部サービスへの不正アクセスは確認されていないとのことだが、引き続き自分自身のフェイスブックアカウントのアクティビティーに不審な動きはないか、注視する必要があるだろう。
(文、撮影・小林優多郎)
