logo

Facebook、パスワード再発行による乗っ取りに対処する新ツールを発表

Laura Hautala (CNET News) 翻訳校正: 佐藤卓 吉武稔夫 (ガリレオ)2017年01月31日 10時35分
  • このエントリーをはてなブックマークに追加

 誰かが持っているすべてのアカウントを一度にハッキングする最も簡単な方法は何だろうか。電子メールを使うことだ。

 やり方はこうだ。たとえば、あるハッカーが誰かのYahooアカウントへのアクセスに成功したとしよう。そのハッカーは、他の数々の人気サイトにアクセスしてそのYahooメールアドレスを入力し、「パスワードを忘れた場合」と書かれたリンクをクリックする。それから、Yahooメールの受信箱を見て、パスワードリセットの方法が書かれたメールを調べる。こうすれば、他のサイトのアカウントもハッキングできる。

 Facebookが米国時間1月30日にリリースした新しいツールは、こうした問題の解決を目指したものだ。このツールを使えば、パスワードの再発行手続きをするときのセキュリティが強化される。メールアカウントにアクセスできるだけではパスワードを再発行できなくなるのだ。

 FacebookのセキュリティエンジニアBrad Hill氏はブログの投稿で、「われわれはもっと優れた仕組みを必要としている。自分の信頼するID情報やサービスを使用して、アクセスを取り戻せるような仕組みだ。たとえ、その情報やサービスがメールアドレスや電話番号に紐付けされていなくてもだ」と述べている。Hill氏はこの日、カリフォルニア州オークランドで開催されたサイバーセキュリティカンファレンス「Enigma」でも、この新しいツールを披露した。

 Hill氏によれば、Facebookはパスワードを不要にする技術の開発に取り組んでおり、このツールはその一環だという。また、Facebookと同じように、ログインプロセスにセキュリティレイヤを追加しているサービスは増えており、ハッカーがパスワードだけを利用して他のアカウントにサインインすることは難しくなっている。だが、今のところ、こうしたレイヤは追加オプションにすぎない。ほとんどすべてのサービスは、ユーザーに対して最初にパスワードの入力を求めている。

 Facebookは、このツールを普及させるために、プロトコルをオープンソースで公開した。オンラインサービスがこのプロトコルを導入すれば、ユーザーは自分のFacebookアカウントを使って自分の身元を証明できるようになる。また、FacebookはGitHubと提携し、31日からこのツールをGitHubのユーザーが使えるようにするという。GitHubは、プログラマーが共同でコーディングプロジェクトに取り組むことができるオンラインリポジトリサービスだ。

提供:GitHub
GitHubのアカウント復旧ページ
提供:GitHub

 Hill氏はEnigmaで行ったプレゼンテーションで、このプロトコルは既存のソリューションである「OAuth」を改良するものになると述べている。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

-PR-企画特集