サンフランシスコ(CNNMoney) 米フェイスブックは28日、同社のサービスに対する攻撃で5000万人近いユーザーの情報が危険にさらされたと発表した。こうしたユーザーがフェイスブックを使ってログインした他のサイトやアプリのアカウントについても、ハッカーがアクセスできる状態になっていたという。
ハッカーは今回、「View As」と呼ばれる機能にあったバグを悪用した。View Asは自分のページが他人からどのように見えるかを確認できる機能。ハッカー側がアカウントを乗っ取り、その保有者になりすますことができる状態だった。
フェイスブックによれば、ハッカーの身元や拠点は不明。問題はすでに修復済みで、米連邦捜査局(FBI)などの法執行機関や議会、規制当局に通報した。欧州の一般データ保護規則(GDPR)の規定に従い、アイルランドデータ保護委員会にも報告したという。
ユーザーの側では28日、セキュリティー上の理由から9000万人以上が強制ログアウトとなり、再度ログインする必要に迫られた。ハッカーが盗んだのはログイン状態の維持に必要な「アクセストークン」で、影響を受けた5000万人全員のほか、予防措置としてView As機能を過去に使った4000万人分のアクセストークンもリセットされた。
このリセットにより、同社傘下の「インスタグラム」や「オキュラス」のサービスとのリンクも解除された。メッセージアプリ「ワッツアップ」は影響を受けないという。
フェイスブックのザッカーバーグCEO
フェイスブックは、ユーザーがセキュリティー面で追加の措置を講じたり、パスワードをリセットしたりする必要はないとしている。ログアウトの対象となった全ユーザーは、この問題についてフェイブック側から通知を受け取る見通し。
フェイスブックのガイ・ローゼン氏は発表後の記者会見で、フェイスブックを通じてログインするサードパーティーのサービスやサイトにハッカーがアクセスできた可能性があると明らかにした。ただ、実際にアクセスがあったかは不明。
フェイスブックは影響を受けたアカウントが不正利用されたり、実際に個人情報へのアクセスがあったりしたかどうかをまだ把握していない。特定の場所やアカウントが標的になったのかも不明。調査を行う間、ハッカーに利用されたView Asの機能は使えないようにする。
フェイスブックによれば、今回の脆弱(ぜいじゃく)性は3つのバグが原因で、17年7月に動画アップロード機能に変更を加えた際に初めて生じたものだという。最初に異常な活動を検出したのは今月16日で、調査に着手したところ、25日に今回の攻撃が見つかった。