Yahoo!ニュース

フェイスブック、パスワード再確認の理由は、5000万人アカウントのハッキング

神田敏晶ITジャーナリスト・ソーシャルメディアコンサルタント
なぜ?Facebookはパスワードを再確認しはじめたのか?出典:Facebook

KNNポール神田です。

Facebookのログインで、各端末ごとに、やたらパスワードが求められるていると感じていたが、やはり、Facebookに、ハッキングによる情報漏洩のトラブルが発生していたようだ。

Facebookの5,000万人分のユーザー情報が流出していた可能性があることが、9月28日(米国時間)に明らかになった。プロフィールの「プレビュー」機能に関する脆弱性を外部のハッカーに悪用されたもので、最大で9,000万人が影響を受けた可能性があるという。

フェイスブックは問題を修正する過程で、9,000万人のFacebookユーザーのアカウントを、9月28日(米国時間)の朝に自動でログアウトさせた。このうち5,000万人が今回の問題の対象であり、残りの4,000万人も影響を受けていた可能性があるという。

出典:Facebookの5,000万人分の情報流出について、いま知っておくべきこと

同社は27日に問題を修復したほか、米連邦捜査局(FBI)や国土安全保障省、アイルランドのデータ保護当局に通報したとしている。

同社は、影響を受けた5000万件のアカウントのアクセストークンをリセットした。さらにアカウント4000万件のアクセストークンも予防的にリセット、自分のプロフィルが他人にどう見られるのかを確認する機能も一時的に使用できないようにしたとしている。

出典:フェイスブックにセキュリティー上の欠陥、利用者5000万人に影響

現在、セキュリティー上の脆弱性があり、既存アカウントを5000万人に対して、自動的にログアウトさせた。Facebookの『アクセストークン』もリセットしているので、対象となったアカウントに対して、Facebookの『ログインパスワード』が求められるという。

各端末から再度、Facebookへのログインが求められる 出典:Facebook
各端末から再度、Facebookへのログインが求められる 出典:Facebook

この件に関する、Facebook社による日本語のリリースも出された。

攻撃者はFacebookのアクセストークンの情報を不正に入手し、それによってアカウントを乗っ取ることもできました。アクセストークンは、Facebookにログインし続けるためのデジタル暗号で、それがあることで利用者はパスワードを毎回入力する必要はなくなります。

弊社がすでに取っているアクションは以下のとおりです。

第1に、すでにこの脆弱性を修復し、捜査当局に報告しております。

第2に、影響があったと思われる約5000万のアカウントのアクセストークンをリセット、予備的措置としてさらに約4000万のアカウントもリセットいたしました。これにより約9000万人の利用者の皆様がFacebookあるいはファミリーアプリの利用にあたり再度ログインする必要があります。

第3に「View As(特定のユーザーへのプレビュー)」 の機能は、セキュリティの監査のため、当分の間使えないようにします。

影響を受けたアカウントの安全を確保し、利用者の皆様に何が起きたのかをお知らせするという緊急対応をいたしました。ここに今回の件について心よりお詫び申し上げます。利用者の皆様のパスワード変更は不要です。ただ、もしパスワードを忘れてしまった等でFacebookへのログインにお困りの場合はヘルプセンターをご確認ください。

出典:セキュリティに関する重大なアップデート

Facebookといえども、セキュリティは万全ではないということ

Facebookは、『プロフィールのプレビュー機能』に脆弱性があると判断しログアウトによる遮断を試みた。

インターネット上に接続されたFacebookのサービスのどこかで存在してしまった『脆弱性』をもとに、不正にアカウントにアクセスされ情報を乗っ取ることが可能な状態になっていたからだ。しかも、2017年の7月に変更してからだから、1年以上にわたってその脆弱性に気づいていなかったこととなる。そこで、急遽Facebookは、『アクセストークン』という自動でFacebookにログインできる機能をリセットしたので、突然、ログインパスワードが求められるという現在の状況が生まれたのだ。

しかし、まだ調査が初期の段階のため、アカウントの不正使用、または情報の不正アクセスがあったかはまだわかっていない。パスワードの変更は不要というが、『facebookで認証ログイン』という認証で、多数の他のサービスへのログインを使用している人は、気が気でないはずだ。Facebook認証で他のサービスにもログインしている人は、TwitterやGoogleと同様に、Facebookのアカウントを乗っ取られると他のサービスまで乗っ取られる危険性を秘めている。

むしろ、現在のログインIDが『電子メールor電話番号』『パスワード』だけということのほうが不思議でもある。IDはもっともっと、ユニークな選択肢があるべきだろう。パスワードを忘れた時のお知らせの呪縛からこのログインID方式になっているのかもしれないが、絶対に忘れないような『サブID(あだ名など)』や『漢字での計算問題(外国人ハッカーには読めない)』や『パズル認証(プログラムで解決しにくい)』なども追記して欲しいものだ。すでに『パスワード生成ソフト』で作成したパスワードは高度すぎて、キーボードで打つことすら不可能になりつつある。高度で複雑なパスワードだけでは、「ど忘れ」という単純なヒューマンエラーも起こしやすい。

現在の電子メールによるログインと現状のパスワードのみというセキュリティはすでに、裸で財布を持って歩いているようなものだ。

『アクセストークン』を付与するまでは難しくし、付与してからは簡単というのが一番管理が楽なのだ。情報が漏洩しても、サブIDやもうひとつのログインIDがあることによって堅牢性は担保される。

『セキュリティに関する重大なアップデート』というタイトルはおかしい!

本来であれば、Facebookのサービス上でこの『リリース』をタイムラインのいつもの広告のように表示すべきなのだ。そして、タイトルは、『ユーザーの皆様へのハッキングに関するお詫び』とすべきだろう。『セキュリティに関する重大なアップデート』ではないだろう。それは、ハッキングされた事実とリセットしている事を隠蔽している。しかも、わざわざ、ユーザーがFacebook社のニュースリリースを見に行かなければならないということでもない。すべてのユーザーでないとしても、ハッキングされた情報は、外部のメディア経由で知るのではなく、Facebook上で知らせなければならないのではないだろうか?

Facebook NewsRoom

https://ja.newsroom.fb.com/news/

ユーザーとFacebookとの理想の関係

Facebookは、ユーザーの利用で収益をあげているのではない。しかし、ユーザーがたくさんいることによって、間接的に広告を見せることによって、広告という収益があがるビジネス構造だ。ユーザーが広告を見て、利用するから広告主はプラットフォーマーのFacebookに対して広告費という費用を支払うのだ。ユーザーがFacebookを利用しなくなればFacebookの広告モデルは破綻してしまう。

つまり、Facebookとユーザーは相互に『広告』に依存している関係性でもあるのだ。

『いいね!』はFacebookにおける『猿のグルーミング』活動

ユーザーは、友達のタイムラインの記事に対して、『いいね!』ボタンを押したり、『コメント』したり、『シェア』したりしてコミュニケーションをはかる。何年も会っていない知人とでも、近況報告を『猿のグルーミング活動』のようにネット上でできるのだ。そう、猿のグルーミングと同じく、ユーザーはそこで金銭的なメリットは存在しない。時間を費やし、ネット上での個人対個人というソーシャルな集団活動に勤しんでいるのだ。しかし、その場でセキュリティ的な問題があった時、それを秘匿するボス猿は、市井の猿たちからリスペクトされるだろうか?

より良いボス猿は、市井の猿たちの安全を考え、グルーミング活動に危機があることを真摯に正直に誰もがわかるように伝え、それを理解させた上で、安全に取り組むと宣言するはずだろう。

しかし、賢い猿たちは、そんな危険な思いまでして広告のネタとなったグルーミング活動に勤しむことのアホらしさに気づき始めることだろう。しかも、悪質な広告まで表示され、ユーザーの利益に反する広告も野ざらしとなっている。

フェイスブック極悪アプリ広告の定期購読解約方法

https://news.yahoo.co.jp/byline/kandatoshiaki/20180918-00097325/

Facebookはユーザーを広告をクリックしてくれる間接的な最終クライアントとして考えるべきだ

Facebookの現在の強さは、たまたまFacebookから乗り換えるべく、妥当なプラットフォームがないからだけなのだ。すでにユーザーは、飽和している。ある日、知人たちが突然、Facebookから、こちらのサービスに乗り換えましたと大量に言い出したら、大量にFacebookからの民族大移動が起きるはずだ。そして、そちらのプラットフォームは記事の『いいね!』数にあわせて広告料金の分配がもらえるなどの収益の還元システムがあると、良い記事はますます評価され、シェアされていき、さらに良い記事が書かれるという『善循環』が起きるはずだ。

そろそろFacebookは、メッセンジャーにまで広告を入れたりするような改悪サービスではなく、ユーザーに利益を還元するようなしくみを考えたり、セキュリティ問題や、第三者に対しての情報漏洩に対しても、ユーザーを無料でサービスを使っているタダ乗りユーザーとしてではなく、広告をクリックしてくれる間接的な最終クライアントとしての見方を『熟議する時期』に来ているのではないだろうか?

そういうユーザーの見方をすると、ハッキングのアナウンスの仕方ひとつにとっても、もっともっと真摯になれるはずだと思う。

ITジャーナリスト・ソーシャルメディアコンサルタント

1961年神戸市生まれ。ワインのマーケティング業を経て、コンピュータ雑誌の出版とDTP普及に携わる。1995年よりビデオストリーミングによる個人放送「KandaNewsNetwork」を運営開始。世界全体を取材対象に駆け回る。ITに関わるSNS、経済、ファイナンスなども取材対象。早稲田大学大学院、関西大学総合情報学部、サイバー大学で非常勤講師を歴任。著書に『Web2.0でビジネスが変わる』『YouTube革命』『Twiter革命』『Web3.0型社会』等。2020年よりクアラルンプールから沖縄県やんばるへ移住。メディア出演、コンサル、取材、執筆、書評の依頼 などは0980-59-5058まで

神田敏晶の最近の記事