Facebookアプリは通常、ほぼ永久にログイン状態を維持するため、いつでもアクセスしてフィードをスクロールできます(ついでに広告もいくつか見ることができます)。しかし今朝、9000万人のユーザーが「セッションが期限切れです」というエラーメッセージが表示され、再度ログインを余儀なくされました。一見単純なバグのように見えますが、実際にはFacebookが今週初めに発見した「セキュリティ問題」が原因で、最大5000万人のユーザーの個人データに影響を及ぼす可能性があります。
Facebookの声明によると、Facebookの従業員がこの問題に最初に気づいたのは9月25日火曜日だった。この問題は、「view as(他人の閲覧)」と呼ばれる機能の脆弱性から発生した。この機能は、ユーザーが自分のページを他のユーザーと同じように表示できるようにするものだ。この機能を使用するには、「アクセストークン」の使用が必要だった。アクセストークンは、コンピューターやスマートフォンに常駐し、ログイン状態を維持するために使用される。
Facebookによると、このアクセストークンを盗むことで、悪意のある人物がアカウントを「乗っ取る」ことができるとのことです。最初の発覚後に発表された声明によると、この脆弱性は、ユーザーがフィードに「誕生日おめでとう」動画をアップロードできるユーティリティに起因していました。
Facebook社は、この問題を修正し、影響を受ける可能性のある5000万アカウントのアクセストークンと、過去1年以内に「view as」検索の対象となった4000万アカウントのアクセストークンを取り消したと発表している。
同社は現在、「別のユーザーとして表示」機能を無効化しており、これによりアカウントのハッキングが今後発生しないよう対策を講じているとしています。しかし、調査はまだ始まったばかりなので、今後数か月または数週間のうちにFacebookのアカウントから突然ログアウトされた場合は、ログイン後もセキュリティ通知が表示される可能性があります。ログイン時に通知が表示されなくても(今朝私の場合は表示されませんでした)、Facebookのニュースルームで他のアカウントが影響を受けていないか確認することをお勧めします。
この捜査はしばらく続くと予想されており、Facebookは攻撃の複雑さから既にFBIと連携していると報じられています。同社は外国の攻撃者、あるいは国家が関与している可能性について言及していませんが、捜査が進むにつれて、この疑問が頻繁に聞かれることになるでしょう。
Facebookは、ハッカーがログイン情報を盗み出したのではなく、裏口からアカウントにアクセスしたため、現時点ではパスワードを変更する必要はないとしています。また、クレジットカード情報はアカウントに保存されている限り安全だとも述べていますが、他のアカウントやログイン情報については、常に注意を怠らないことが重要です。
今後の展開に応じてこの記事を更新します。
