パスワードを忘れた? アカウント作成
13731912 story
Facebook

Facebook、アカウントへの不正アクセス発生を伝えるニュース記事へのリンク投稿を一時ブロック 9

ストーリー by headless
共有禁止 部門より
Facebookは9月28日、「プロフィールを確認」ツールの脆弱性により、5,000万件近いアカウントのアクセストークンを攻撃者が不正に入手していたことを明らかにした(Facebookのニュース記事)。

「プロフィールを確認」は、他のユーザーが自分のプロフィール画面を見た場合の見え方を確認するツール。表示画面は閲覧のみを意図したものだが、メッセージ送信用のUIが誤って有効になっていたため、動画の投稿も可能だった。動画アップローダーにはFacebookモバイルアプリ用のアクセストークンを生成する機能が誤って搭載されており、「プロフィールを確認」画面内では見え方を確認しようとした他のユーザー用のアクセストークンを生成していたという。攻撃者はこれら一連のバグを悪用して他のユーザーのアクセストークンを入手していたとのこと。

Facebookでは脆弱性の修正および捜査機関への通報、影響を受けた5,000万近いアカウントおよび影響を受けた可能性のある4,000万アカウントについてアクセストークンをリセットしたほか、「プロフィールを確認」機能を一時的に無効化している。アクセストークンがリセットされた約9,000万アカウントはログアウト状態となり、再度ログインするとニュースフィードの先頭に通知が表示されるという。なお、パスワードが不正アクセスを受けたわけではないので、変更の必要はない。

この件がメディアで報じられ、多くのFacebookユーザーがニュース記事へのリンクをシェアしようとしたところ、APThe Guardianなどの記事へのリンクが一時ブロックされて投稿できない状態になっていたそうだ。投稿をブロックされたユーザーがTwitterに投稿したスクリーンショットによると、多数のユーザーが同じコンテンツを投稿しようとしたため、Facebookのセキュリティシステムがスパムと判定したようだ(The Next Webの記事Mashableの記事)。

しかし、スパム防止機能は詐欺広告や嘘ニュースなど信頼できない情報の拡散を防ぐためのものだ。重大な事件などが発生した場合、APやThe Guardianなどの記事は多くのユーザーが短時間に投稿することも予測できたはずで、ブロックされないよう事前に設定しておくべきではなかったかという指摘も出ている。なお、The Washington PostやUSA TODAYの記事はブロックされなかったとのことだ。
  • by minet (45149) on 2018年09月30日 18時40分 (#3489567) 日記

    その「プロフィールを確認」は、
    抽象的な「誰かさんが私のプロフィール画面を見るとこうなる」画面を生成するのではなく、
    具体的なアカウントを指定して「○○さんが私のプロフィールを見るとこうなる」画面を生成していた
    ということ?

    ここに返信
    • by Anonymous Coward

      リンク先のヘルプを見ると

      3. 自分のプロフィールがどのように公開されているかがわかります。友達や同僚など、特定の人に対してあなたのプロフィールがどのように表示されているかを表示するには、[特定のユーザーへのプレビュー]をクリックし、その人の名前を入力してEnterキーを押します。

      とある。

      「自分以外の誰か」の名前を入力した後、
      なぜか有効になっている動画アップローダーからそのアカウントの
      モバイルアプリ用アクセストークンを生成できてしまった、って話なんだと思う。

  • by Anonymous Coward on 2018年09月30日 17時47分 (#3489555)

    二段階認証用の携帯電話の番号を広告企業に渡して
    ターゲティング広告に利用させてたFacebookさんですから、
    いまさらセキュリティなんて気にする訳ないし、
    ましてそれを指摘するような記事なんて、
    ユーザーに素直に見せるはずもない。

    ザッカーバーグ氏が何を言ったところで、
    「大男、総身に知恵が回りかね」ってことなんでしょう。

    ここに返信
    • Re:意識の問題 (スコア:2, 参考になる)

      by Anonymous Coward on 2018年09月30日 17時55分 (#3489559)

      これはFacebook側が公表しないと明らかになってない漏洩事件なんで、なんでも斜に見るのはどうかと思うけどね。

      この件で驚いたのは"View as"の和訳が「プロフィール確認」なこと。

    • Re: (スコア:0, 興味深い)

      by Anonymous Coward

      そういえばスラドではGoogleのGPS情報無断利用も今度のFacebookの電話番号の無断利用もストーリーになってないな。
      どっちもだいぶひどい事件だと思ったが。

      • by Anonymous Coward

        無断利用 無断利用 って言うけど、

        グーグルアカウントオンで ブラウザだらしなく使う vs 必要に応じて グーグルアカウントオンオフ

         Wi-fiモデムルーターでのネット接続って、接続IPが割り当てホッピングする ので、 グーグルからも インスタからも
         これあれ 不正なアクセスではないかメールがくる状況 

         などが掛け合わささるのもあるわけで、GoogleのGPS情報無断利用も今度のFacebookの電話番号の無断利用 って

        無断利用 シーズン2018もいいけど、 Googleに本名登録した覚えもないし、住民票スキャンされたこともないし、
        Google FaceBook T

        • by Anonymous Coward

          Safariの機能拡張には、何故か美味しいWebクッキーやブラウザ履歴とかを日幅でいや、全部とか消去してくれるツールがないけど
          Macには、AppleIDアカウントによる自己端末の登録管理検索とキーチェーンアクセスとがあるから、オンラインバンキングや
          会員登録などの管理にまさにアップル製品でのコンピュータ利用にSafari使うけど、アップルワールドクラウドサーバーには
          全部筒抜けですよね。まあユーザ情報とユーザデータの方は、例のFBIもビックリ暗号化技術でマスキングしてるんでしょうけど

          一方、同じ、MAC上でも、Flashに厳しくなったChrome、とFlashもOKなFireFox Oper

      • by Anonymous Coward

        具体的にどの事件の事なの。
        googleネタはいっぱいストーリーになってるけど。

typodupeerror

UNIXはただ死んだだけでなく、本当にひどい臭いを放ち始めている -- あるソフトウェアエンジニア

読み込み中...