Facebook、5,000万人分のアクセストークンが流出

　Facebookは28日(米国時間)、25日に発生した脆弱性を悪用した攻撃で、5,000万人分のユーザーアカウントにログインできるアクセストークンが盗まれたと発表した。

　盗まれたアカウントが悪用されたかどうかはまだ不明だとしているが、Facebookはこの問題をすでに認知しており、以下の対処を行なった。

1.脆弱性パッチを適用し、この攻撃者またはほかの攻撃者がさらなるアクセストークンを盗むのを防いだ。また、流出したユーザーのアクセストークンを無効にしたため、再びアクセスするさいは再ログインを要求。これらのユーザーはニュースフィードにアクセスしたときに、何が起きたか通知される。

アクセストークンが流出したユーザーはニュースフィードで通知される

2.予防処置として、セキュリティの問題が完全に解決されるまで、脆弱性があった自分のプロフィールが他人にどのように見えるかを確認するためのツール「View as」機能を一時無効にした。

3.さらなる予防処置として、脆弱性が存在して以来、View as機能を利用したことのあるすべてのユーザーをログアウトさせた。これにより、追加で4,000万人以上のユーザーが再ログインする必要がある。

　同社は脆弱性の修正およびアカウントの保護処置をしたものの、問題再発を防ぐために新しいツールを開発する必要があり、調査などが進んださいにはホームページにて案内するとしている。