ニュース

Facebookにサイバー攻撃、5000万人分のアクセストークンが流出

対策及び予防のため9000万人を強制ログアウト、「不正利用は確認していない」がさらに調査中

流出対象者への告知例

 米Facebookは、9月28日(現地時間、以下同)、約5000万人分のアカウントに対し、乗っ取りの恐れがあるサイバー攻撃があったことを明らかにした。

 攻撃が判明したのは25日で、流出したのはログイン後のセッション維持に利用される「アクセストークン」。攻撃に利用された機能はすでに停止されており、アクセストークンが流出したアカウントについては、(それらのアクセストークンが無効になるよう)システム側より強制ログアウト済み。対象者が再ログインすると、その旨、ニュースフィード最上部に告知が表示される。

 今回のアクセストークン流出による不正利用は、今のところ確認されていないが、同社は継続調査中。

 攻撃に利用されたのは、自分のプロフィールページが他人からどう見えるかを確認できる「View As」という機能。今回の脆弱性は2017年の機能追加で発生したとみられており、同社では、脆弱性が発生して以降、この機能を利用した4000万人についても、別途、予防処置としてシステム側から強制ログアウトしたとのこと。

 「アクセストークン」は、ログイン状態を維持するために利用される一時データで、ログイン時に生成され、ログアウト後、無効となる。悪用することで、アカウントが乗っ取られる可能性などがある。

 なお、今回流出したのは、アクセストークンであり、パスワードではない(ログイン状態が維持されていても、パスワードの変更には、通常、現在のパスワードを入力する必要がある)こともあり、Facebookでは「(このことで)パスワードを変更する必要はない」と告知している。