企業が個人情報の提供を求める場合、収集した個人情報は安全に保管されていると当然期待できます。「ハッシュ化」や「ソルト化」(後ほど詳しく説明します)といった技術を利用することで、企業はパスワードを読み取りやすく、場合によっては盗まれてしまうような形式で公開することなく、ログイン情報の検証といった重要なテストを行うことができます。しかし残念なことに、ここ数年、ゆっくりと進行してきたFacebookのセキュリティ問題に関する一連の騒動の最新章では、数億件ものパスワードが平文形式で数千人の社内従業員に公開されました。
同社は悪意のある行為の証拠を発見していないため、現時点では、対象となる数億人のFacebookユーザーに通知し、希望があればパスワードを変更できるようにする計画となっている。
どうしたの?
パスワードは機密情報であるため、通常は暗号化技術を用いて保存され、その本質を隠蔽します。ハッシュ化は、企業が保存したパスワード情報が盗まれた場合に実質的に無用なものにする技術です(社内では従業員がパスワードを見ることができないため、これは良いことです)。ソルト化は、ハッシュ化処理の最初に元のパスワードに文字列を追加することで、ハッシュ化処理のセキュリティをさらに強化します。しかし、今回のケースでは、これらのFacebookパスワードは平文で保存されていたため、アクセス権を持つ人なら誰でも読み取り、理解し、さらには使用することさえ可能でした。
バグの影響を受けていますか?
Facebookは既にこの問題に関する声明を発表していますが、もしあなたのアカウントがデータベースに含まれている場合は、まもなく通知が届きます。声明によると、影響を受けたアカウントの大部分はFacebook Liteプラットフォーム上でした。これは、帯域幅が制限されている地域での利用を想定して設計されたサービスの縮小版です。このセグメントでは、侵害されたアカウントが「数億」に上りますが、一般的なFacebookユーザーは「数千万人」に上ります。
これは最近の Facebook のセキュリティ問題と関連しているのでしょうか?
この問題自体はケンブリッジ・アナリティカ事件のような過去の問題とは必ずしも関連していませんが、同社は昨年9月に発生した別のバグの調査中に、少なくとも部分的にこの問題を発見したと報じられています。これらの問題の影響でパスワードを変更した場合、それだけでプライバシーを十分に確保できるかどうかは不明です。
それに対して何をすべきでしょうか?
Facebookは、不正行為の証拠がないため、現時点ではパスワードの変更は必須ではないと述べていますが、今後同社がこのバグに関する新たな情報を入手すれば、状況は変わる可能性があります。現時点では、ベストプラクティスとして、パスワードマネージャーを使用してログインすることをお勧めします。パスワードマネージャーの使用に抵抗がある場合は、Facebookのパスワード(および同じパスワードを使用している他のアカウントのパスワード)を今すぐ変更してください。
Instagramはどうですか?
残念ながら、Instagramで報告されたバグにより、同社がユーザーが写真や情報にアクセスできるようにするためにリリースした「データのダウンロード」ツールを通じて、一部のユーザーのパスワードが漏洩した可能性があります。Facebookによると、この問題は「少数」のユーザーにのみ影響したとのことですが、Facebookから情報をダウンロードしている場合は、Facebookのパスワードも変更することをお勧めします。
