5000万人の個人情報が流出した件でFacebookが調査結果を公表、自分が被害を受けたか確認する方法あり

5000万人分のFacebookアカウントのアクセストークンが盗まれてアクセスし放題になった件について、Facebookが調査結果を公表しました。

An Update on the Security Issue | Facebook Newsroom
https://newsroom.fb.com/news/2018/10/update-on-security-issue/

Facebookは2018年9月25日、約5000万人ものユーザーに影響を与えるであろうセキュリティ漏えいを発見したと報告していました。この問題は、各ユーザーのプロフィールが他のユーザーからどのように見えるのかを確認するプロフィールを確認ツールに存在していた脆弱性を突くもので、各ユーザーがアプリなどでFacebook関連サービスを利用する度にパスワードを入力し、サービスにログインする必要がなくなるようにするためのデジタルキー「アクセストークン」が入手され、氏名や顔写真、友人のリストなどの個人情報にアクセスできてしまうというものでした。

Facebookでユーザー5000万人に影響するセキュリティ漏えいが発覚、ユーザーのアクセストークンが盗まれる - GIGAZINE
https://gigazine.net/news/20180929-facebook-50-million-security-breach/

Facebookが明らかにしたところによると、同社では2018年9月14日からアクティビティの異常な増加を検知して調査に着手。そして9月25日にこの件はアタッカーによる攻撃であると確認し、原因となっている脆弱性を突き止めたとのこと。そこから2日以内でソースコードを修正することで脆弱性を排除することに成功し、攻撃がストップ。さらにFacebookは攻撃の対象となった可能性があるユーザーのアクセストークンをリセットすることで、さらなる第三者からのアクセスを封じ込める対策を取ったとのこと。

Facebookはこの件に関してFBI(連邦捜査局)の調査に協力しており、FBIからの指示により攻撃の背景にいるとみられる者についての情報は明かせないとしています。

また、当初は5000万人規模と思われていたトークンの流出でしたが、実際にはそれよりも規模が小さく、3000万人規模だったことも判明しているとのこと。攻撃者はまず最初のターゲットのアカウントにアクセスし、そこから自動化されたシステムで数珠つなぎ的に友人をたどり、最終的に40万人分のアクセストークンを入手。そしてこの時、タイムラインに表示される投稿や友人リスト、参加しているグループ、そして最近メッセンジャーで会話した人などの情報が流出したものと見られています。メッセンジャーでの会話内容は基本的に見ることができないようになっていますが、アカウントの持ち主が何らかのグループの管理者であり、直近にメッセンジャーで会話をしていた場合に限り、内容が流出した可能性があるとのこと。

そして攻撃者は次に、40万人のアカウントの友人リストを出発点に3000万人分のアクセストークンを入手。そのうち1500万人においては氏名と連絡先(電話番号、メールアドレスなど)の2つの情報が流出した可能性が高いと見られています。また、残りのうち1400万人に関しては上記の2つの情報に加え、ユーザー名やジェンダー、アカウントのロケールや言語、交際ステータス、宗教、出身地、登録されている居住地、誕生日、アクセスしている端末の情報、学校、仕事、直近でチェックインした10地点などの、より詳細な情報が流出したとみられているとのこと。なお、最後に残る100万人に関しては、個人情報へのアクセスは確認されていないとしています。

Facebookでは、ユーザーが自分のアカウントで被害があったかどうかを確認できるページを提供しています。

An important update about Facebook's recent security incident | Facebookヘルプセンター
https://www.facebook.com/help/securitynotice

ページの末尾には被害があったかどうかの確認内容が表示されており、編集部員のアカウントでは「your Facebook account has not been impacted by this security incident.(あなたのFacebookアカウントでは今回の一件による被害はありませんでした)」というメッセージが表示されました。気になる人は念のためチェックしておいたほうがいいかもしれません。