Facebookは9月28日（米時間）、複数の不具合を悪用した攻撃により、ユーザーアカウントにアクセス可能なアクセストークンが最大5000万人分流出した可能性があると発表しました。影響を受けるユーザーについては、すでにアクセストークンが無効化にされ、これにより、Facebookの再ログインが必要になっています。

アクセストークンは、ユーザーがアプリを使用するたびに、パスワード入力を不要にするためのデジタルキーのようなもの。通常はログイン時に作成され、ログアウト時に破棄されますが、これを悪用すると、パスワードなどでログイン操作をすることなく、アカウントにアクセスできることが可能になります。

Facebookには、自分のプロフィールが他の人からはどのように見えるかを試せる「View As（プロフィールのプレビュー）」機能がありますが、この機能に脆弱性があり、第3者がアクセストークンを盗める状態になっていたとのことです。

すでにこの脆弱性は修正されているほか、原因となっていたView As機能を一時停止しました。また、盗まれた可能性のある最大5000万人分のアクセストークンを無効化し、念のために、脆弱性が存在した昨年時点で、View As機能を利用したことのある4000万人のアクセストークンも同じく無効化したとのこと。これにより、合計で最大9000万アカウントに影響を与えることとなっています。

影響を受けた（アクセストークンが無効化された）アカウントでは、Facebookアプリからログアウトが行われており、再度ログイン操作が必要になっているほか、ログイン時に上図のような通知が表示されるとのことです。

調査を始めたばかりではあるものの、今回の件による不正アクセスは確認されていないとのこと。

なお、流出したのはログイン状態を維持するアクセストークンであり、パスワード自体が漏洩しているわけではありません。このため、本件によるパスワード変更の必要はないとしています。

「セキュリティとログイン」のページから、Facebookにどこからログインしたかを確認できるので、念のためチェックしておくと安心かもしれません。