Facebookは米国時間10月12日、9月末に明らかにした大規模なデータ流出について最新情報を公表した。
Facebookは9月、データ流出によって5000万人に影響が生じた可能性があるとしていた。攻撃者らは、Facebookの「アクセストークン」を盗み、ユーザーのアカウントにパスワードなしでアクセスすることができるようになっていた。Facebookは12日、盗まれた個人情報は2900万人分だったと述べた。
Facebookの製品管理担当バイスプレジデントを務めるGuy Rosen氏は電話会議で、「このようなことが起こり申し訳ない。アカウントにアクセスして情報を盗もうとする人々の脅威に今後も常に直面することをわれわれは理解している」と述べた。
Facebookは、影響を受けたユーザー数を当初報じられていた5000万人から約3000万人に下方修正するとともに、ハッキングはまず、攻撃者に最も近い40万人から開始されたと述べた。
大規模に影響が拡大したが、最初は攻撃者らのFacebookの友達が標的となっていたようだ。ハッカーらは「View As」機能の脆弱性を利用し、まずは自らの友達からアクセストークンを盗み、被害に遭った友達の友達に対してそうしたプロセスを繰り返していった。
Rosen氏は12日の報道陣との電話で、ハッカーらのアカウントにつながっていた40万人に被害が拡大するまで、その処理は自動的に実行されたと述べた。
Rosen氏は、「自分たちの友達のアクセストークンを盗み、さらにその友達の友達のアクセストークンを盗んだ」と話した。
Facebook上では友達だったが、最初の被害者グループが攻撃者とどの程度親しい関係だったかは不明だ。Facebookにコメントを求めたが回答は得られていない。Rosen氏は、FBIが捜査中であるとして、攻撃者の詳細情報を具体的に明らかにすることを控えた。
最初の被害者について、攻撃者らは、タイムラインの投稿、友達リスト、参加しているグループ、最近メッセージを送信した相手などの情報にアクセスすることができた。Facebookによると、被害者が「Page」の管理者で、Pageが他のユーザーからメッセージを受信していたのでない限り、「Messenger」の内容は流出していないという。
この40万件のアカウントに対して同じ脆弱性を利用し、ハッカーは数千万人分のFacebookユーザーの情報を盗んだ。
最終的に、1400万人のアカウントから生年月日、直近の検索履歴、そのユーザーがタグ付けされている直近の10のロケーションなどの個人情報が盗まれた。別の1500万人は、氏名、電話番号、メールアドレスなどの情報が盗まれた。100万人は、個人情報などの情報にアクセスされていない。
Facebookは米国時間9月25日、アクティビティの急上昇を確認した後、攻撃を受けていたことに初めて気づいた。ハッカーらの活動は、Facebookの従業員が異常に気づくまでしばらく続けられていた。
Facebookの友達を標的にしてハッカーが使用した自動プロセスは、Facebook上の自分のプロフィールが他のユーザーにどのように見えるかを確認できる「View As」機能を利用してそのプロフィールを読み込んでいた。Facebookはその後、安全のためにこの機能を無効にした。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」