Photo by Will Francis on Unsplash

Facebook

[Facebook] プレビュー機能の脆弱性でトークン流出!アカウントの乗っ取り・外部サイトとの連携も注意!

こんにちは。
@OfficeTAKUです。

私にとっては、Facebook も 重要なコミュニケーションツールとなっています。
それ以前は Mixi、更にその前はNiftyServe とかね。

個々人によって程度の差はあれ重要な個人情報が満載なので、セキュリティには注意したいものです。

何度も書いていますが、ネットワークで繋がっている現在は被害者になると即加害者になってしまいます。
インターネットすること、特に何かしらコミュニケーションや情報発信をすることには責任と覚悟が必要です。

Facebookでの情報流出

一昨日あたりから、Facebookのログイン状態が強制的に解除され、再度ログインを求められることが頻発していました。

私も、このWordPressからJetpackプラグインを介しての連携が何度か再接続を求められました。
Instagramでも再接続が要求されたり、といつもと違う状況が続いてしました。

お客様からもこんな画面が表示されるんだけど、とセッション切れによる再接続のスクリーンショットを添えて問い合わせのメッセージが届いたりしました。

今回の再接続要求が頻発される自体はプレビュー機能の脆弱性によるトークン流出が原因

今朝のニュースでその原因がわかりました。

最初に目にしたのは朝日新聞デジタルのニュース

米フェイスブック(FB)で28日、新たな個人情報流出問題が発覚した。偽ニュース拡散など2年前の米大統領選での対応を巡って厳しい視線を注がれ、信頼回復に力を注いできた同社にとっては、大きな打撃となりそうだ。FBは安全対策費のさらなる増加を余儀なくされ、業績にも影響が出る可能性がある。
 今回明らかになったのは、FB上でプロフィル情報が他人からどう見えるのかを利用者が確認できる「プレビュー(ビュー・アズ)」の機能の欠陥だ。昨年7月から1年以上放置され、その弱みを突くと、ログイン状態を維持するためのデジタル上の鍵である「アクセス・トークン」の情報を、ハッカーが盗み取れる状態になっていた。
 
出展: フェイスブック、不信に追い打ち 5000万人分情報流出の恐れ、1年放置:朝日新聞デジタル
 

これだけではその程度の危険性があるかわからないので、Wired の記事を読んでみました。
ただその影響、危険性がどの程度なのかは明確にはわかっていないようです

フェイスブックが9月28日(米国時間)に公表したセキュリティの脆弱性は、最大で9,000万人に影響した可能性が出てきた。

しかも金曜午後に追加で実施されたオンライン会見で、問題がFacebookだけに終わらないことが明らかになった。もしアカウントの情報が流出していた場合、ユーザーがFacebookの認証を利用して登録しているあらゆる外部サイトに、ハッカーがアクセスできていた可能性が発覚したのである。その数は膨大になる。

(中略)

盗まれたアクセストークンを、外部サイトがいつまで受け入れるのかは明確になっていない。また、攻撃者がアクセストークンを使って外部サイトにログインすることが、どこまで難しいのかも同様に明らかになっていない。

フェイスブックは同時に、脆弱性の影響を受けたユーザーのアカウントについて、外部サイトへのログインを無効化した。つまり、もしあなたが影響を受けた可能性がある9,000万人に含まれるなら、例えばInstagramからFacebookにも写真を投稿するような機能は、パスワードを変更しないと使えなくなる。

出展:続報:Facebookの情報流出は、外部サイトを巻き込む“大惨事”に発展する|WIRED.jp

Photo by Fancycrave on Unsplash

Photo by Fancycrave on Unsplash

身近にもこんな事例が

お恥ずかしい話し、先日は私自身 Mixi の乗っ取りにあいました。
幸い、直に異常に気づいて知らせてくれた友人がいたので、直に対処。
それでもMixi内の友人へスパムメールが送信される、という事態に。
本当に肝を冷やしました。

また、先日はお客様のYahoo!アカウントが乗っ取りにあいました。
こちらは、全世界に向けてスパムメールの踏み台にされてしまいました。

セキュリティ対策は怠らない

インターネット上のサイトを利用する時は下記のような点に十分注意しましょう。

  • 二段階認証を始め各サイトのセキュリティ対策をしっかりとしておく
  • WindowsアップデートなどOSやアプリのアップデートはちゃんと適用して最新の状態にしておく
  • ウィルス対策ソフトなどパソコンのセキュリティもしっかりとしておく
  • 日頃からログイン履歴などをみて不審な動きがないか注意する
  • 一度登録したが使わないサービスは完全に退会しておく

インターネットは非常に便利で生活に欠かせません。
本来はオープンで自由な場であるべき、性善説に基づいた世界です。
しかし、残念なことに悪用する輩が、その才能を無駄遣いする輩が後を絶たないのが現実。

じっかりとした知識をもって、身を守りつつ、いつまでも、この素晴らしい世界を楽しみたいものです。

ピックアップ記事

  1. 3.11復興とは?問うドキュメンタリー:メディアが語らない真実「被災地の水産加工…
  2. 机からケーブルを落とさない NuAns WORKLIFE FOLDKEEPER …
  3. [PPT] あなたのPowerPointプレゼンテーションを劇的に変えてしまうで…
  4. [WordPress]ロリポップサーバーで不要になったWordPressサイトを…
  5. [レビュー] Lenovo Ideapad 520 スタンダードな充実ノートパソ…

関連記事

  1. Facebook

    iPad:FacebookやTwitterのタイムラインがグラビア雑誌風に!FlipBoard

    FacebookやTwitter、使い慣れてきてなんだか画面観るのも飽…

  2. Facebook

    Facebook : Facebookページのアップデートを逃さずキャッチする方法

    こんにちは。@OfficeTAKUです。自分のニュースフィ…

  3. Facebook

    レビュー:高橋敦彦×またよしれい「Facebookコミュニティ成功の法則」

    こんにちは。歳をとっても新しもの好き@OfficeTAKUです。…

  4. Facebook

    Facebook : 友達のゲームのお知らせをニュースフィードに表示させない

    Facebook の魅力の一つにゲームが豊富なことがあげられています。…

  5. Facebook

    Facebook

    Facebook : 自分のタイムラインが友達からどう見えているか確認するプレビュー

    こんにちは。大好きな誕生月の9月が終わってしまいちょっと淋しい@O…

  6. Facebookへアップロードした写真のサイズ比較

    Facebook

    Facebook : 写真をより高画質でアップロードするには?

    こんにちは。@OfficeTAKUです。夏休み、久しぶりに…

最近の記事

  1. Kindle Daily Sale 26
  2. Kindle Daily Sale 25
  3. Kindle Daily Sale 24
  4. Kindle Daily Sale 23
  5. Kindle Daily Sale 22

人気の記事

  1. マイクロソフト製品の新元号対応について
  2. Time Machine からの復元
  3. マンガ『スティーブズ』
  1. WordPress

    [WordPress]ロリポップサーバーで不要になったWordPressサイトを…
  2. 日記

    法定相続情報一覧図の作成や申出のポイントについてまとめ
  3. 書籍

    [レビュー] 『親子で学ぶ プログラミング超入門 ~Scratchでゲームを作ろ…
  4. Photo by rawpixel on Unsplash

    WebService

    [Amazon] アマゾンで「NHKこどもパーク」開始!月額390円で「ワンワン…
  5. Security

    [Google] Chrome 拡張機能「Password Checkup」導入…
PAGE TOP