Facebookでユーザー5000万人に影響するセキュリティ漏えいが発覚、ユーザーのアクセストークンが盗まれる

Facebookが2018年9月25日(火)に約5000万人ものユーザーに影響を与えるであろうセキュリティ漏えいを発見したと報告しています。Facebookによると、セキュリティ漏えいについての調査は初期段階にあるものの、アタッカーは「View As」機能の脆弱性を活用し、ユーザーのアクセストークンを盗み出したことが明らかになっています。

Security Update | Facebook
Newsroom https://newsroom.fb.com/news/2018/09/security-update/

Facebookの報告によると、アタッカーは「『View As』機能の特定のコンポーネントをレンダリングしたときに、HTMLでユーザーアカウントのFacebookアクセストークンが公開されてしまう脆弱性」を悪用し、約5000万人分のアクセストークンを盗み出したことを確認したとのこと。アタッカーが盗み出したアクセストークンは、ユーザーがアプリなどでFacebook関連サービスを利用する度にパスワードを入力してサービスにログインする必要がなくなるようにするためのデジタルキーです。

なお、問題の原因となった「View As」機能は、自分のプロフィールが他ユーザーにどのように見えるかをチェックするための機能です。ユーザーは「プロフィールを確認」から「View As」機能が使えるようになっており、いつでも自分のプロフィールが他ユーザーからどのように見えているかをチェックできるようになっています。

私のプロフィールが他の利用者にどのように表示されているのかを確認するには、どうすればよいですか。 | Facebookヘルプセンター | Facebook

この「View As」機能がアクセストークンを出力してしまうプロセスは以下の通り。

「View As」機能は表示専用のインターフェースなのですが、ある種のコンポーザーに対してのみ間違ってムービーを投稿する機能を提供してしまっていたとのこと。そして、2017年7月に導入された動画アップローダーの新しいバージョンが、Facebookのモバイルアプリへのアクセス許可を持つアクセストークンを間違って生成してしまうというバグも存在していました。動画アップローダーが「View As」機能の一部として機能してしまった際、本来生成されるはずのないアクセストークンが出力されてしまったわけです。アタッカーはこの脆弱性に気づき、5000万人分ものアクセストークンを盗み出すことに成功したとのこと。

by rawpixel

セキュリティ漏えいが発覚した後、Facebookは悪用されたコードの脆弱性を修正し、アクセストークンのさらなる盗難被害を防止。さらに、法執行機関への通報も行ったと明かしています。加えて、被害に遭った約5000万件のアカウントトークンを無効化し、2017年に「View As」機能の調査対象になったという4000万件分のアカウントでもアクセストークンをリセットし、不正アクセスの被害にあう可能性を防いだとしています。この結果、約9000万人がFacebookやFacebookへのログインを必要とするアプリを利用する際に再度ログインするよう求められることとなり、ログイン後にはセキュリティ漏えいが起こったことを説明する通知が表示されることとなる模様。

その後、セキュリティ漏えいの原因となった「View As」機能を一時的にオフにしたことをFacebookは明かしています。

Facebookはセキュリティ漏えいの調査が始まったばかりなので、アクセストークンを盗まれたアカウントが不正利用されたのか、情報にアクセスされたのかなどについてはまだ判断がつかない状況であるとしています。また、今後影響を受けるアカウントが増えればすぐにアクセストークンをリセットすることを約束しています。

なお、Facebookは盗まれたものはアクセストークンであるため、パスワードを変更する必要はないとしています。