2週間前に発覚し対応を行ったセキュリティの脆弱性について、攻撃者がどのような利用者の情報にアクセスしていたかをご報告するための調査に注力して参りました。本件に関して詳細をここに報告させていただきます。まだ比較的小さい攻撃の可能性については完全には否定できず、今後とも調査をして参ります。
前にも申し上げましたように、攻撃者は2017年7月から、2018年9月までの間のFacebookのコード脆弱性を利用しました。この脆弱性は3つの個別のソフトウェアのバグの相互作用により発生し、「View As(特定のユーザーへのプレビュー)」 の機能(特定の人に対して利用者のプロフィールがどのように表示されているかを確認する機能)に影響を与えました。これにより、攻撃者はFacebookのアクセストークンの情報を不正に入手し、それによってアカウントを乗っ取ることもできました。アクセストークンは、Facebookにログインし続けるためのデジタル暗号で、それがあれば利用者はパスワードを毎回入力する必要はなくなります。
本件に関する弊社の対応経緯は以下の通りです。
Facebookは今年の9月14日に、通常では見られないほどのアクティビティの急上昇を確認し、調査を始めました。9月25日には、これが攻撃であることを認め、脆弱性を特定しました。2日間でこの脆弱性を解決し、攻撃を止め、影響の可能性があった利用者の皆様のアクセストークンをリセットすることで、利用者のアカウントを保護しました。
また、前回のご報告通り、「View As(特定のユーザーへのプレビュー)」 の機能を停止致しました。この件について我々はFBIと協力しており、FBI側でも調査が行われていると同時に、攻撃者についてはコメントを差し控えるように通達を受けております。
また、本件による影響を受けていた人数が、当初ご報告したよりも少なかったということもわかりました。当初影響を受けたと考えられていた5000万人のうち、実際にアクセストークンを盗まれたのは約3000万人となります。以下に、どうやってこれらの攻撃が行われたかの経緯をご説明します。
まず、攻撃者は既にいくつかのまとまったアカウントをコントロールしており、それらはFacebook上で友人とつながっていました。攻撃者は自動化された技術を利用し、アカウントからアカウントへと移動することでそのアカウントの友人のアクセストークンを盗み、そこからまた友人の友人のアクセストークンへとアクセスすることを繰り返した結果、約40万人のアクセストークンが影響を受けました。またその過程において、攻撃者はこの技術を使って自動的にそれら40万人のアカウントのFacebookプロフィールを読み込んだと考えられ、そのとき40万人が自身のプロフィールを見た際に見られるであろう情報にもアクセスできたということになります。この情報にはタイムラインへの投稿、友人のリスト、参加しているグループ、直近のMessengerの会話のスレッドの名前が含まれます。Messengerでのメッセージの内容は攻撃者には見られない状態でしたが、もしその影響を受けた利用者がページの管理者であり、その管理しているページがFacebook上の別の利用者からメッセージを受け取った場合にのみ、メッセージの内容が攻撃者にわかるようになっていました。
攻撃者はこれらの40万人の友人リストを元に、約3000万人のアクセストークンを盗みました。そのうちの1500万人に対しては、攻撃者は名前と連絡先情報 (電話番号、メールアドレス、あるいはその両方など、プロフィールに登録されているもの)の2つの情報へアクセスしたことがわかっています。またその他の1400万人に対しては、攻撃者は先述の2つの情報に加え、プロフィール上の他の詳細情報にもアクセスしました。それらの詳細情報には、ユニークURLのためのユーザーネーム、性別、言語設定、交際ステータス、宗教、出身地、自己申告による居住地、誕生日、Facebookにアクセスする際に使用したデバイスの種類、学歴、職歴、チェックインもしくはタグ付けされた直近の10のロケーション、ウェブサイト、フォローしている人やページ、15の直近の検索情報が含まれます。残りの100万人に対しては、攻撃者がアクセスした情報はありませんでした。
利用者の皆様のアカウントが影響を受けたかどうかについては、ヘルプセンターからご確認でき、近日中に日本語でも表示される予定です。今後数日間のうちに、影響を受けた3000万人の皆様にそれぞれの状況に合わせてメッセージをお送りし、どの情報に攻撃者がアクセスした可能性があるのか、不審なメールやテキストメッセージ、電話などを防ぐためにどのような対応ができるのかなどを説明させていただく予定です。
この攻撃はMessenger、Messenger Kids、Instagram、WhatsApp、Oculus、WorkplaceやFacebookのページ、Facebook上の支払い、第三者のアプリ、また広告や開発者のアカウントには影響がありませんでした。弊社は、攻撃者が別の方法でFacebookを利用した可能性について引き続き調査するとともに、小規模な攻撃の可能性についても調査を行い、今後ともFBI、アメリカ連邦取引委員会およびアイルランドデータ保護委員会や他の政府機関に協力いたします。
利用者の皆様のプライバシーとセキュリティ保護は極めて重大なことであります。ここに今回の件について重ねてお詫び申し上げます。今後ともFacebookを安全にご使用いただけるような製品・機能、そして取り組みに注力して参ります。
Downloads:画像をダウンロード