Facebook、セキュリティ研究者向けに「ホワイトハット設定」を提供

Catalin Cimpanu (Special to ZDNET.com) 翻訳校正: 緒方亮 長谷睦 (ガリレオ)2019年03月28日 10時10分

 Facebookは米国時間3月23日、脆弱性の研究者に対し大きな譲歩をした。ホワイトハット(善玉)研究者のセキュリティ調査向けの特別な設定をFacebookアカウントに追加したのだ。

提供:Facebook
提供:Facebook

 新しい設定は「Whitehat Settings」(ホワイトハット設定)という名称で、Facebookが採用している「Certificate Pinning」(証明書のピン留め)というセキュリティの仕組みを、セキュリティ研究者が回避できる仕組みを導入するものだ。

 通常は、Certificate PinningがFacebookのモバイルアプリから発生するトラフィックをスニッフィングから保護している。しかし、Facebookによると、セキュリティ研究者が「Whitehat Settings」をオンにした場合、FacebookがそのアカウントについてはCertificate Pinningを意図的に中断し、研究者はアプリから生じるトラフィックの傍受、スニッフィング、分析をできるようになるという。

 Facebookでは、「Whitehat Settings」オプションを実装した理由について、Certificate Pinningを回避するのに苦労しているセキュリティ研究者たちから強い要請があったためだと説明している

 「Whitehat Settings」を有効にできるのは、メインの「Facebook」、インスタントメッセージクライアントの「Messenger」、および「Instagram」の各アプリとなる。なお、この設定に対応するのはAndroid版アプリだけで、iOS版は対応していない。

 この設定を有効にすると、Facebook Platform APIのやり取りのための組み込みプロキシ、FacebookのTLS 1.3サポートを無効にする機能、トラフィックの傍受を容易にするためのユーザーがインストールした証明書を使うオプションなども、独自に設定できるようになる。

提供:ZDNet
提供:ZDNet

 アカウントの全体的なセキュリティ態勢も弱まることから、脆弱性テストを終えた後は速やかにこの機能をオフにするよう、Facebookはセキュリティ研究者に促している。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

CNET Japanの記事を毎朝メールでまとめ読み(無料)

-PR-企画広告

企画広告一覧

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]