https://ja.newsroom.fb.com/news/2018/10/update-on-security-issue/
10/13/2018
セキュリティに関するアップデート (2)
>本件に関する弊社の対応経緯は以下の通りです。
Facebookは今年の9月14日に、通常では見られないほどのアクティビティの急上昇を確認し、調査を始めました。9月25日には、これが攻撃であることを認め、脆弱性を特定しました。2日間でこの脆弱性を解決し、攻撃を止め、影響の可能性があった利用者の皆様のアクセストークンをリセットすることで、利用者のアカウントを保護しました。
また、前回のご報告通り、「View As(特定のユーザーへのプレビュー)」 の機能を停止致しました。この件について我々はFBIと協力しており、FBI側でも調査が行われていると同時に、攻撃者についてはコメントを差し控えるように通達を受けております。
また、本件による影響を受けていた人数が、当初ご報告したよりも少なかったということもわかりました。当初影響を受けたと考えられていた5000万人のうち、実際にアクセストークンを盗まれたのは約3000万人となります。以下に、どうやってこれらの攻撃が行われたかの経緯をご説明します。
まず、攻撃者は既にいくつかのまとまったアカウントをコントロールしており、それらはFacebook上で友人とつながっていました。攻撃者は自動化された技術を利用し、アカウントからアカウントへと移動することでそのアカウントの友人のアクセストークンを盗み、そこからまた友人の友人のアクセストークンへとアクセスすることを繰り返した結果、約40万人のアクセストークンが影響を受けました。またその過程において、攻撃者はこの技術を使って自動的にそれら40万人のアカウントのFacebookプロフィールを読み込んだと考えられ、そのとき40万人が自身のプロフィールを見た際に見られるであろう情報にもアクセスできたということになります。この情報にはタイムラインへの投稿、友人のリスト、参加しているグループ、直近のMessengerの会話のスレッドの名前が含まれます。Messengerでのメッセージの内容は攻撃者には見られない状態でしたが、もしその影響を受けた利用者がページの管理者であり、その管理しているページがFacebook上の別の利用者からメッセージを受け取った場合にのみ、メッセージの内容が攻撃者にわかるようになっていました。
攻撃者はこれらの40万人の友人リストを元に、約3000万人のアクセストークンを盗みました。そのうちの1500万人に対しては、攻撃者は名前と連絡先情報 (電話番号、メールアドレス、あるいはその両方など、プロフィールに登録されているもの)の2つの情報へアクセスしたことがわかっています。またその他の1400万人に対しては、攻撃者は先述の2つの情報に加え、プロフィール上の他の詳細情報にもアクセスしました。それらの詳細情報には、ユニークURLのためのユーザーネーム、性別、言語設定、交際ステータス、宗教、出身地、自己申告による居住地、誕生日、Facebookにアクセスする際に使用したデバイスの種類、学歴、職歴、チェックインもしくはタグ付けされた直近の10のロケーション、ウェブサイト、フォローしている人やページ、15の直近の検索情報が含まれます。残りの100万人に対しては、攻撃者がアクセスした情報はありませんでした。
アカウント
コンピュータ用語でのアカウント は、ユーザーがネットワークやコンピュータやサイトなどにログインするための権利のことである。また、ユーザーとは、コンピュータシステムの利用者を意味する。ユーザーに割り当てられたアカウントをユーザーアカウントとも呼ぶ。 ウィキペディア
ハッカー、1400万人の重要情報盗み見 フェイスブック
対象は3000万人に下方修正
ネット・IT 北米
2018/10/13 5:54
>
【シリコンバレー=中西豊紀】米フェイスブックは12日、サイバー攻撃により個人情報が流出した恐れがある問題で、対象ユーザーを最大5000万人から3000万人に修正した。このうち1400万人については、登録した居住地、職歴、宗教、直近の検索履歴など個人に関する重要情報がハッカーに盗み見されたという。また、1500万人は名前や電話番号が流出した。
フェイスブックは9月28日、個人アカウントにアクセスできる「トークン」と呼ばれる鍵を最大5000万人分盗まれたと発表。この日は、その後の調査の結果、被害対象の範囲が想定より減ったことを明らかにした。
ただ、1400万人についてはユーザー名や性別、婚姻状況、シェアした訪問地、交流サイト(SNS)視聴に使ったネット端末などを含む個人の詳細情報がハッカーによるアクセスにあっていたという。別の1500万人については名前や電話番号、電子メールアドレスへのアクセスにとどまっていた。残りの100万人はハッカーが情報に触れた痕跡がなかった。
被害にあったユーザーにはフェイスブックが近く通知をする。具体的な被害地域は明らかにしていないが同社の欧州拠点があるアイルランドの当局とは情報を共有しているという。仮に欧州連合(EU)域内で個人情報保護に問題があるとされると「一般データ保護規則」(GDPR)に基づき巨額の制裁金を課される可能性がある。
実際に誰がハッカーで狙いは何かなどについてフェイスブックは「米連邦捜査局(FBI)が調査中で、言及するなと言われている」として詳細の説明を避けた。
9月の発表ではフェイスブックのアカウントと連動した第三者のアプリサービスにもハッカーが侵入する懸念が指摘されていた。これについてはフェイスブックは「現時点で被害は確認されていない」とした。
