【エバンジェリスト・ボイス】Facebookのアクセストークン漏えいで思ったこと

サイバー・セキュリティ・ソリューション（CSS）部
エバンジェリスト　内山　史一

こんにちは。 CSS 部エバンジェリストの内山です。

突然ですが、皆さんは SNS をどのように活用されていますか？
友人とのコミュニケーション、情報収集やライフログの記録等、それこそ利用方法や楽しみ方は様々だと思います。私自身も 7,8 年前から Facebook 等の SNS を利用し始め、コミュニケーションツールとして大いに活用したものです。（現在、 Facebook は休眠中ですが････）ときには故郷の友人からの久し振りの便りに胸を躍らせ、慣れない手つきの料理をレポート（今見ると絶対赤面もの）するなど、日々の生活の彩りを華やかにさせてくれるものでした。

さて、ここからが本題です。 SNS の積極的な利用から離れて久しい私でも気になるニュースがありました。 9 月 28 日（米国時間）、フェイスブック社は約 5000 万のアカウントに影響のある「 Facebook 」の脆弱性を発見したこと、この脆弱性により攻撃者がアカウントを乗っ取ることも可能であったことを公表しました。
過去、「 Facebook 」は脆弱性やプライバシー上の問題も指摘されており、正直なところ「また問題発覚なの？」といった印象を持った方もいらっしゃるかと思います。本エントリーでは今回の事象について事象概要等、以下 3 点にまとめてご案内いたします。

　・何が起きたか
　・被害にあったか確認するには
　・Facebookのアクセストークン漏えいで思ったこと

【何が起きたか】
本項では、フェイスブック社のニュースリリースをもとに、今回の問題の概要についてご案内いたします。
フェイスブック社のエンジニアリングチームが発見した問題は、「 View As 」の機能（ *1 ）で特定コンポーネントを表示した際の脆弱性を、攻撃者が悪用することによって、ユーザーのアカウントのアクセストークン (*2) の情報を不正に入手できるというものでした。

　*1：特定の人に対して利用者のプロフィールがどのように表示されているかを確認する機能
　*2：「Facebook」にログインし続けるためのデジタル暗号で、これによりユーザーはパスワードを毎回入力する必要がなくなるもの

フェイスブック社は、実際にアクセストークンを攻撃者に窃取された約 3000 万人（当初の約 5000 万人から下方修正）のうち、攻撃者によって下記情報へのアクセスがあったことを公表しています。
フェイスブック社のニュースリリースによると、ユーザーのパスワード変更が不要であること、「パスワード漏えいがあったという事実」がどこにも記載されていないことから、パスワード使い回しによる他サービスへの影響拡大の懸念はないと言えます。

1024Figure-1_漏えいした情報の内訳_1138x775
Figure-1: 漏えいした情報の内訳

また、 Messenger 、 Messenger Kids 、 Instagram 、 WhatsApp 、 Oculus 、 Workplace や Facebook のページ、 Facebook 上の支払い、第三者のアプリ、また広告や開発者のアカウントには、今回の問題に関して影響がなかったことが公表されています。
つまり、「 Facebook 」のアクセストークンを使ってログイン可能なサードパーティのアプリやサービスへの影響はなかったということですね。

外部サイト：セキュリティに関する重大なアップデート
　
外部サイト： Facebook ログインに関するお知らせ
　
外部サイト：セキュリティに関するアップデート (2)
　

【被害にあったか確認するには】
今回の問題に関して、フェイスブック社からアクセストークンが窃取された約 3000 万人に対して個別に通知するとされていますが、「 Facebook 」のユーザーとしては、自身に影響があったかどうかいち早く確認したいところです。
確認自体は、下記ページにアクセスすることで簡単にできてしまいます。

外部リンク： Facebook の最新のセキュリティ問題に関する重要なアップデート

アクセス先のページ下部に以下メッセージが表示されていれば、今回の問題の影響は受けておりません。

1024Figure-2_アカウントチェック_1167x324
Figure-2: 今回の問題に関する影響有無の確認

万一、今回の問題の影響を受ける対象であった場合、今後フィッシング詐欺の標的になる可能性は否定できません。ですので、見知らぬ人からのメールや電話、テキストメッセージ等には、普段から心がけているフィッシング詐欺への備えと心構えで臨むことになります。

【Facebookのアクセストークン漏えいで思ったこと】
「 Facebook 」に限らず SNS サービスは非常に魅力的で、私たちの日々の生活を豊かに、そして華やかに彩ってくれます。私自身も数年前と比較して、利用用途がコミュニティや友人とのコミュニケーション主体から業務上の情報収集へと変わったものの、 SNS サービス自体は非常に魅力的なサービスとの認識に変わりなく、今後も利用し続けるだろうと思っています。 SNS サービス自体のメリット・デメリットは、様々なところで語られていますが、多くの場合はメリットがデメリットを上回っているのだろうと思います。
下図は「 Twitter 」を利用する理由ですが、こちらを見ても分かるとおり、多くのユーザーが魅力を感じていることが分かります。

1024Figure-3_SNSのポジティブな面_899x480
Figure-3:Twitter を利用する理由 ( 出典： https://mmdlabo.jp/blog/detail_1705.html)

ここからは私自身の利用形態をふまえた感覚としての話になりますが、今回の「 Facebook 」の問題を通じて改めて思い知らされたのは、「ソーシャル認証」による Web サービスの活用が非常に多いことです。特に私がパスワード管理ツールを使い始める前においては、新たな Web サービスやアプリ（主にスマートフォンのアプリ）を利用する際、新規アカウント作成よりも、「 Facebook 」や「 Twitter 」、「 Google 」のアカウントを使った認証を選んでいました。

SNS サービスへの掲載情報や情報の開示範囲に留意することは当然のこと、外部アプリ連携時のアクセス権や外部アプリとの共有情報にも注意をはらってきたつもりですが、 SNS サービスのアカウント情報の漏えいやアクセストークンが漏えいした場合、影響範囲が大きいため、利用していない外部アプリ連携の見直し等、点検が必要だと感じています。

ちなみに「 Facebook 」の場合、以下方法でログイン連携（ソーシャル認証）の解除が可能です。こちらは Web ブラウザによる手順ですが、 iPhone や Android アプリでも同様の手順で解除することが可能です。

ご参考：「 Facebook 」のログイン連携の解除

　① Web ブラウザで Facebook にログイン
　② Facebook 画面右上のプルダウンメニューより、 [ 設定 ] > [ アプリとウェブサイト ] を選択
　③ [ アプリとウェブサイト ] 画面で、「 Facebook 」とログイン連携されているアプリやウェブサイトが表示される
　④解除したいアプリもしくはウェブサイトを選択し、 [ 削除 ] をクリック

1024Figure-4_Facebookログイン連携の解除_1065x575
Figure-4: 「 Facebook 」のログイン連携の解除

ひょんな所からセキュリティは利便性とのトレードオフと改めて思い知らされてしまいました。
便利な面の裏にある認証リスクに思いをめぐらせ、非常に魅力的な SNS サービスと今後も楽しく上手に付き合っていきたいと思います。

それでは、次のエントリーでお会いしましょう！