先週発表しましたセキュリティに関する案件に対して現時点での状況について報告いたします。私たちは本件を非常に重要な問題と捉えており、利用者の皆様のアカウントのセキュリティ保護および調査に最大限注力してまいりました。先日発表した通り、まずは脆弱性を修復し、約9000万のアカウントのアクセストークンをリセットいたしました。内訳としては、影響があったと思われる約5000万のアカウント、そして過去一年間「View As(特定のユーザーへのプレビュー)」機能の対象であった約4000万のアカウントです。利用者の皆さまのアカウントを保護するため、これらのアカウントのアクセストークンのリセットを行いましたので、Facebookあるいはファミリーアプリの利用時、またはFacebookログインを使用するサードパーティアプリを利用する際は再度ログインしていただく必要があります。
今回、Facebookログインを使用するアプリへの影響についてご質問をいただきました。当該期間にインストールされた、あるいはログインされた全てのサードパーティアプリについて調査をした結果、現時点で攻撃者によるFacebookログインを使用するアプリへのアクセスは認められなかったことをご報告いたします。
FacebookのSDKを使用し、アクセストークンの有効性を定期的にチェックしているアプリについては、Facebookがアクセストークンをリセットしたタイミングで自動的に保護されました。念のため、Facebookが提供するSDKを使用されていない開発者の方、またアクセストークンの有効性を定期的にチェックしていないアプリ向けに、影響を受けた可能性のあるアプリの利用者を特定するツールを現在開発中です。これにより、影響を受けた可能性がある利用者をログアウトさせることができます。
セキュリティーはFacebookにとって最重要課題です。Facebookログインを利用する開発者の皆様にはログインのセキュリティーに関するベストプラクティスに沿って開発をしていただくようお願いしております。
- Android, iOS そしてJavaScript用にFacebookが提供しているFacebook SDKをご利用ください。これにより、日常的にアクセストークンの有効性についてチェックをするとともに、Facebookによってアクセストークンがリセットされた場合、利用者のアカウント保護のために再ログインを要求することができます。
- Graph API を利用して情報を最新のものに保ち、Facebookのセッションが無効である旨のエラーコードが返された場合は、利用者をアプリからログアウトさせる処理を行ってください。
本件につきまして心からお詫び申し上げるとともに、今後も最新の情報を逐次報告させていただきます。