フェイスブックが9月28日（米国時間）に公表したセキュリティの脆弱性は、最大で9,000万人に影響した可能性が出てきた。

しかも金曜午後に追加で実施されたオンライン会見で、問題がFacebookだけに終わらないことが明らかになった。もしアカウントの情報が流出していた場合、ユーザーがFacebookの認証を利用して登録しているあらゆる外部サイトに、ハッカーがアクセスできていた可能性が発覚したのである。その数は膨大になる。

今回の問題は、Facebookのプロフィールを「プレビュー」する機能における3つのバグの組み合わせから発生した。プレビューは、ユーザーのプロフィールをほかのユーザーが見たときに、どう見えるのかを確認できる機能である。そこに誤ってヴィデオを投稿するツールが表示されるバグを悪用することで、ハッカーはFacebookへのログイン状態を保持するための「アクセストークン」を入手できるという流れだ。

第1報：Facebookの5,000万人分の情報流出について、あなたが知っておくべきこと

フェイスブックは当初、攻撃の影響を受けたとみられる5,000万ユーザーと、プレビューのページを昨年参照した4,000万ユーザーのアカウントを強制的にログアウトすることで対処した。さらに並行して、プレビュー機能を一時的に停止した。

しかし新事実の公表によって、その“被害”は当初の予想より飛躍的に拡大する可能性が示されたことになる。つまり、Facebook自身のアカウントだけでなく、外部サイトへの認証に用いるシングル・サインオン機能が影響を受けるということだ。

これは、さまざまなサーヴィスでユーザーが個別のアカウントを作成する代わりに、信頼がおけるとされているFacebookやGoogle、Twitterといったサーヴィスのアカウントを利用する認証方式である。ユーザーにとっては時間の節約になり、信頼のおけるサーヴィスを経由しているという安心感につながる。

外部サイトへの多大な影響

今回のケースで対象になったユーザーにしてみれば、フェイスブックの情報流出がインターネット全体を巻き込んだ“大惨事”になる可能性を意味する。

「アクセストークンを利用すれば、悪意のある人物がユーザー本人になりすますことが可能になります。つまり、Facebook認証を利用している別のサーヴィスにもログインできてしまうのです」と、フェイスブックの製品担当副社長であるガイ・ ローゼンはオンライン会見で説明している。「Facebook認証を導入していたデヴェロッパーは、アクセストークンがリセットされたことを検知できるようになる予定です」

盗まれたアクセストークンを、外部サイトがいつまで受け入れるのかは明確になっていない。また、攻撃者がアクセストークンを使って外部サイトにログインすることが、どこまで難しいのかも同様に明らかになっていない。

フェイスブックは同時に、脆弱性の影響を受けたユーザーのアカウントについて、外部サイトへのログインを無効化した。つまり、もしあなたが影響を受けた可能性がある9,000万人に含まれるなら、例えばInstagramからFacebookにも写真を投稿するような機能は、パスワードを変更しないと使えなくなる。

あらゆる外部サーヴィスのアカウントが実際に“攻撃”された事実があるのかについて、フェイスブックはまだ確認できていない。また、どのようなデータをハッカーが持ち逃げした可能性があるのかについても、具体的には明らかになっていない。この脆弱性は2017年7月には存在していたが、攻撃者がどの程度の期間これを利用していたのかについても、フェイスブックは明かさなかった。だが、最大で見積もれば14カ月に達することになる。

すでに集団訴訟も

攻撃の影響の範囲については、ローゼンは「かなり広範にわたるようだ」と説明している。『ニューヨーク・タイムズ』記者のマイク・アイザックが伝えたところによると、最高経営責任者（CEO）のマーク・ザッカーバーグと最高執行責任者（COO）のシェリル・サンドバーグのアカウントも影響を受けたのだという。

すでにフェイスブックは、今回の問題に伴う法的な問題に直面している。Facebookユーザー2名がカリフォルニア州で集団訴訟を起こしたのだ。

「ケンブリッジ・アナリティカの問題に端を発したフェイスブックによる個人情報の取り扱いは、ショッキングなものです。そしてユーザーとともによりよい場所にしていくとフェイスブックは約束していたのに、ハッカーの手から消費者の情報を守ることに再び失敗したのです」と、原告側の弁護士は声明を出している。

今回の問題は、シングル・サインオンという認証方式の問題点も浮き彫りにした。つまり、セキュリティと利便性はトレードオフの関係にあることを、図らずも実証してしまったのである。

「シングル・サインオンの認証方式は、言ってみればアトランタにある連邦準備銀行の金庫が、地元金融機関の金庫に比べれば劇的に安全であるという点で大きな意味があります」と、「Open Crypto Audit Project」のディレクターを務めるケネス・ホワイトは言う。「しかし、ひとたびシングル・サインオンが破られてしまえば、一巻の終わりになってしまうのが弱点です」

別の安全な認証方式にこだわるのは理解できる。そのためのリソースがなかったり、セキュリティに多額の投資する意志がないサイトの場合は特にそうだ。「たったひとつの情報流出で、あなたのオンライン上のアイデンティティがすべて消えてしまう。そんな状況は想像したくないはずです」と、ホワイトは言う。

今回の脆弱性の対象ユーザー数が5,000万なのか9,000万なのか、現時点ではわからない。「問題の全体像を把握すべく調査を始めたばかりです」と、フェイスブックのローゼンは言う。影響を受けたユーザーにしてみれば、途方もない苦痛の時間だろう。