Facebookへのサイバー攻撃、効果的でない助言にご注意

　Facebookの情報流出後にパスワードを変更するよう助言されたとしても、従わなくていい。

　その助言は、米国時間9月28日に発表されたFacebookの「View As」機能の脆弱性の問題によって被害を受けた5000万人のユーザーにとっては全くもって無益なものだろう。にもかかわらず、米連邦取引委員会（FTC）などの政府機関が依然としてパスワードを変更するよう勧めているのだ。

　ハッカーは大量のFacebookアカウントを乗っ取ったが、パスワードは盗まれていなかった。攻撃者が盗んだアクセストークンは、ユーザーが最初のログイン後に許諾されるデジタルキーに相当するため、その後のアクセスにパスワードは必要ないからだ。

　28日にFacebookが述べたところによると、被害を受けたユーザーだけでなく、予防措置として影響がありそうな4000万人のユーザーも併せてアクセストークンがリセットされている。ゆえにパスワードの変更は必要ないのだ。

　FTCもこの点に言及しているものの、「それでも安全を期するため、とりあえずログイン後にパスワードを変更すべきだ」と続けている。

　この助言は、今回のような大規模な情報流出を踏まえて何か対策を講じなければならないという当然の欲求をただ取り繕っているにすぎない。米Yahooや消費者信用情報会社のEquifaxなど、情報流出は増え続ける一方で、個人情報の保護において私たちを悩ませているが、事件後に受ける助言が役に立たない場合があるのだ。最善の策は、情報流出に備えてこれまで以上に先を見越し対策を講じることだろう。

　セキュリティ企業TrustedSecの創立者であるDave Kennedy氏は、「通常、情報流出後に消費者が取れる措置はあまり多くない」と述べている。

　FTCはほかにも役に立たない助言をしている。盗まれた情報を悪用して金を騙し取ろうとすると思われる、なりすまし詐欺に注意するよう警告しているのだ。もちろん詐欺には注意すべきだが、この助言は今回のFacebookの件にはさほど関係がないと、Kennedy氏は述べている。

　「あまりに大局的なため、Facebookの情報流出に限った助言ではないし、Facebookが直面している問題にも当てはまらない。この助言は、今回の情報流出に限って言えば全く役に立たないと考えている」と同氏は述べた。

　情報流出後に出される助言というのは、本来、流出が起きる前からユーザーが日常的にしておくべきことである場合が多い。「パスワード管理ソフトを使おう」、「InstagramやSpotify、Tinderのようなサードパーティーアプリにログインする際にFacebookを使うのはやめよう」、「2要素認証を使おう」といったものだ。

　こういった助言は通常はどれも、起こりうる攻撃から保護してくれる適切なセキュリティ対策だが、情報流出がすでに起きたあとでは実際のところ大した助けにはならない。自動車事故から回復しようとしている人に、シートベルトを締めるよう助言するようなものなのだ。

　「消費者が長期的な損害を避けるためにあらゆることをするとしても、できることは限られている」と、セキュリティ企業Terbium Labsの詐欺対策マネージャーであるEmily Watson氏は述べている。

　時として、被害を受けた人ではどうにも後始末ができない場合がある。情報が流出してしまった企業を信頼し、流出したデータが保護され、絶対に二度と同じことが起きないようにしてもらうしかないのだ。

　「消費者が自分のデータを思うように管理できない場合が多くある」とWatson氏は述べている。

　Facebookは、9000万人のユーザーのアカウントを強制ログアウトし、アクセストークンをリセットするなど、すでにあらゆる対策を講じた。Equifaxが米国の約1億4700万人に影響を及ぼす情報流出があったと発表したとき、同社は独自のID保護ツールを無料で提供した。

　Kennedy氏によると、Facebookの大規模な情報流出を踏まえたうえでの最も有益な助言は、すでに起きた攻撃ではなく、新たな攻撃から自分の情報を守ることだという。

　だが過去の情報流出に対して何もできないからと言って、全く救いがないわけではない。

　「今回の件で教訓を得たのだから、成す術がないわけではない。先を見越した対策を講じることができる」とKennedy氏は述べている。

パスワードを変更するといった助言は、今回のようなFacebookの情報流出にはあまり有益ではない。
提供：Facebook