FBに深刻な脆弱性、5,000万アカウントに影響〜現在は問題修正済み

 
Facebookは現地時間9月28日、同社の技術者チームが25日に深刻な脆弱性を発見、約5,000万人のユーザーアカウントに影響があったことを明らかにしました。現在その問題は修正されています。

「View As」の脆弱性を突いた攻撃

Facebookによれば、攻撃者はFacebookの「View As」機能のコードの脆弱性を突き、アクセスに必要なトークンを盗み出し、アカウントの乗っ取りを行っていたとのことです。アクセストークンとはユーザーがFacebookにログインするときに利用するデジタル鍵であり、これにより毎回パスワードを入力しなくても、FBにログインすることができます。
 
FBは問題発見と同時に脆弱性を修正、警察に通報したと報告しています。
 
次に、影響があったと思われる約5,000万人のアカウントのアクセストークンをリセットし、さらに昨年「View As」関連で問題のあった4,000万アカウントについてもトークンをリセットしたとしています。つまり合計約9,000万人は、次にFBを利用する際、改めてパスワードなどを再入力する必要があります。対象となったユーザーのニュースフィードには、その理由を説明する文章が掲載されています。
 
さらにFBは、問題のあった「View As」機能を、一時的に使用できないようにしています。
 

アクセストークンがリセットされたアカウントのニュースフィードには説明文が表示される

原因は「View As」にあった3つのバグ

以上の対応を取ったのが、現地時間28日の午前のことでした。同日夕方に、その後の展開についてさらに報告しています。
 
FBは今回の問題が、「View As」のコードに含まれていた3つのバグによるものだったと説明しています。
 
「View As」とは、ユーザー自身のプロフィールが、ほかのユーザーにどのように見えるかを確認できる機能です。本来は「見る専用」ですが、友人の誕生日を祝うメッセージを贈ることができるボックスにバグがあり、動画が投稿できるようになっていました。これがひとつめのバグです。
 
ひとつめのバグで動画投稿を可能にしていた動画アップローダー(2017年7月に導入された機能)が、FBのモバイルアプリのアクセストークンを勝手に生成していました(2つめのバグ)。
 
この動画アップローダーが「View As」の一部として表示される際、ユーザー本人に対してではなく、ユーザーが「参照している」ユーザーに向けてアクセストークンが生成されていました。このアクセストークンはそのページのHTMLから取得することができてしまいます。
 
上記3つの深刻なバグにより、攻撃者はアクセストークンを盗み出し、別のユーザーになりすましてログイン、さらに他のアクセストークンを盗むという行為を繰り返していたとのことです。
 
先述したように、現在は「View As」機能は一時的に使えなくなっており、影響があったと思われる約5,000万人、さらに念のために4,000万人のアクセストークンがリセットされています。
 
 
Source:Facebook via MacRumors
(lunatic)